Me preguntaba si alguien podría aclarar el alcance del cumplimiento de PCI con respecto a múltiples redes.
En la actualidad, hay una red compatible con PCI a la que se conecta otra red a través de VPN. La red compatible con PCI eventualmente almacenará datos de clientes e información de tarjetas de crédito.
Leí este artículo que sugiere que Siempre que no almacene números de tarjetas de crédito localmente en la red de la oficina, el alcance no se extenderá tan lejos. Sin embargo, es la conexión VPN lo que me lleva a pensar que, de hecho, significará que la oficina también tendrá que ser compatible con PCI.
Todos los departamentos grandes tienen acceso a la VPN (cada uno con sus propios nombres de usuario), pero todavía no se ha implementado ninguna política de seguridad y renovación de contraseñas.
¿Alguien puede aclarar la situación preferiblemente con referencia a alguna documentación oficial?