La página 10 de PCI DSS v3.1 indica:
"Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos o conectados al entorno de datos del titular de la tarjeta. El entorno de datos del titular de la tarjeta (CDE) está compuesto por personas, procesos y tecnologías que almacenan, procesan o transmiten datos confidenciales del titular de la tarjeta. Datos de autenticación. "
Por lo tanto, sus sistemas están realmente en el alcance de PCI porque transmiten datos del titular de la tarjeta.
Como su proveedor de nube almacena todos los datos del titular de la tarjeta, no tiene que preocuparse por los requisitos de almacenamiento de los datos del titular de la tarjeta (cifrado y gestión de claves).
Sin embargo, TIENE que preocuparse por su registro. Dado que sus máquinas se utilizan para conectarse al CDE, están dentro del alcance. Los registros de todos los sistemas dentro del alcance PODRÍAN almacenarse localmente en cada punto final, pero la aplicación del resto de los requisitos para los registros se vuelve muy difícil si no se administran de forma centralizada.
Requisito 10.5:
Pistas de auditoría seguras para que no puedan modificarse.
Requisito 10.7:
Conservar el historial de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o restaurable desde la copia de seguridad).
No es necesario que almacene copias de seguridad de registros fuera del sitio y, según la evaluación de riesgos de su empresa, puede que no sea rentable hacerlo, pero le recomiendo guardarlas en un sistema administrado de forma centralizada y con acceso controlado.
Editar: se agregó una aclaración sobre 9.5.1 para que las personas no tengan que revisar los comentarios (Gracias @SilverlightFox)
El encabezado de los estados del requisito 9
"Medios" se refiere a todos los medios electrónicos y en papel que contienen datos del titular de la tarjeta.
Dado que no se hace una copia de seguridad de los datos del titular de la tarjeta, ni siquiera se almacena, en primer lugar, el requisito 9.5.1 sería N / A porque los "medios" no contienen datos del titular de la tarjeta.