alcance de red de conformidad con PCI

2

Me preguntaba si alguien podría aclarar el alcance del cumplimiento de PCI con respecto a múltiples redes.

En la actualidad, hay una red compatible con PCI a la que se conecta otra red a través de VPN. La red compatible con PCI eventualmente almacenará datos de clientes e información de tarjetas de crédito.

Leí este artículo que sugiere que Siempre que no almacene números de tarjetas de crédito localmente en la red de la oficina, el alcance no se extenderá tan lejos. Sin embargo, es la conexión VPN lo que me lleva a pensar que, de hecho, significará que la oficina también tendrá que ser compatible con PCI.

Todos los departamentos grandes tienen acceso a la VPN (cada uno con sus propios nombres de usuario), pero todavía no se ha implementado ninguna política de seguridad y renovación de contraseñas.

¿Alguien puede aclarar la situación preferiblemente con referencia a alguna documentación oficial?

    
pregunta Ben Swinburne 18.07.2012 - 15:49
fuente

2 respuestas

4

Voy a llamar a su red compatible con PCI # 1, y al otro # 2. Si ninguna información de la tarjeta de crédito va a atravesar la VPN al # 2, entonces no tiene que ser compatible con PCI. Sin embargo, si un sistema ubicado en el número 2 necesitará acceder a la información de la tarjeta de crédito, o sistemas que almacenan información de la tarjeta de crédito, entonces tendría que ser compatible con PCI.

Honestamente, sin embargo, las reglas de PCI para la red son una buena práctica para todas las partes de su red, no solo las partes que tratan con la información de la tarjeta de crédito. La autenticación fuerte, el registro, etc. deben considerarse estándar.

    
respondido por el GdD 18.07.2012 - 15:59
fuente
3

¿Quiere decir que sus desarrolladores pueden acceder a los servidores de base de datos de producción desde sus estaciones de trabajo de desarrollo? Suena como algo que no quiere explicar en una evaluación de PCI ...

Debes separar claramente tus entornos dev y prod. El sitio de producción solo debe permitir un acceso claramente definido para todas las personas (- > pistas de auditoría), no manipular bases de datos o similares. Si va a tener una auditoría en el lugar, sería bueno que sus estaciones de trabajo locales estén bien protegidas (AV, política de contraseñas ...). Incluso si las estaciones de trabajo no están dentro del entorno de datos del titular de la tarjeta, los QSA tienden a ser escépticos acerca del acceso administrativo.

    
respondido por el mdo 18.07.2012 - 21:04
fuente

Lea otras preguntas en las etiquetas