Procedimiento de copia de seguridad para PCI

3

Nuestra empresa no almacena ningún dato de la tarjeta de crédito, pero sí los transmitimos. Lo estamos almacenando en una plataforma en la nube que ya es compatible con PCI.

Solo necesitamos acceder al portal de la nube desde nuestra empresa. Entiendo que también debemos ser compatibles con PCI.

Pero con respecto a la copia de seguridad, necesitamos hacer una copia de seguridad de la administración del registro. Mi pregunta es, ¿todavía necesitamos almacenar la copia de seguridad fuera del sitio? ¿O está bien si lo almacenamos localmente?

    
pregunta PCIrs 11.03.2015 - 04:38
fuente

2 respuestas

1

La página 10 de PCI DSS v3.1 indica:

  

"Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos o conectados al entorno de datos del titular de la tarjeta. El entorno de datos del titular de la tarjeta (CDE) está compuesto por personas, procesos y tecnologías que almacenan, procesan o transmiten datos confidenciales del titular de la tarjeta. Datos de autenticación. "

Por lo tanto, sus sistemas están realmente en el alcance de PCI porque transmiten datos del titular de la tarjeta.

Como su proveedor de nube almacena todos los datos del titular de la tarjeta, no tiene que preocuparse por los requisitos de almacenamiento de los datos del titular de la tarjeta (cifrado y gestión de claves).

Sin embargo, TIENE que preocuparse por su registro. Dado que sus máquinas se utilizan para conectarse al CDE, están dentro del alcance. Los registros de todos los sistemas dentro del alcance PODRÍAN almacenarse localmente en cada punto final, pero la aplicación del resto de los requisitos para los registros se vuelve muy difícil si no se administran de forma centralizada.

Requisito 10.5:

  

Pistas de auditoría seguras para que no puedan modificarse.

Requisito 10.7:

  

Conservar el historial de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o restaurable desde la copia de seguridad).

No es necesario que almacene copias de seguridad de registros fuera del sitio y, según la evaluación de riesgos de su empresa, puede que no sea rentable hacerlo, pero le recomiendo guardarlas en un sistema administrado de forma centralizada y con acceso controlado.

Editar: se agregó una aclaración sobre 9.5.1 para que las personas no tengan que revisar los comentarios (Gracias @SilverlightFox)

El encabezado de los estados del requisito 9

  

"Medios" se refiere a todos los medios electrónicos y en papel que contienen datos del titular de la tarjeta.

Dado que no se hace una copia de seguridad de los datos del titular de la tarjeta, ni siquiera se almacena, en primer lugar, el requisito 9.5.1 sería N / A porque los "medios" no contienen datos del titular de la tarjeta.

    
respondido por el JekwA 15.07.2015 - 22:13
fuente
-1

Lo que entiendo de tu pregunta es que estás hablando sobre la copia de seguridad de los registros. PCI requiere que todos los registros se almacenen en el servidor de registro central (consulte el Requisito 10). No hay ningún lugar donde se mencione que sus registros deben ser respaldados en otros medios y almacenados fuera del sitio. Dado que no está almacenando los datos de la tarjeta localmente, el almacenamiento de otros datos de la tarjeta en el medio no es aplicable para usted.

    
respondido por el Vamsi Krishna 15.07.2015 - 19:11
fuente

Lea otras preguntas en las etiquetas