Estoy con una organización que apenas está comenzando a trabajar en PCI. Tenemos 3 sitios que están conectados a través de conexiones punto a punto. Sólo el sitio principal almacena los datos del titular de la tarjeta. Los otros dos sitios tienen estaciones de trabajo que se conectan al entorno de datos del titular de la tarjeta a través de una conexión cifrada. Necesitamos que los 3 sitios sean compatibles con PCI.
Basado en la información anterior, tengo algunas preguntas ...
-
¿Necesitamos un SAQ por separado para cada sitio? ¿O solo para el sitio principal?
-
Entendemos que los 2 sitios que no almacenan datos del titular de la tarjeta están dentro del alcance, sin embargo, ¿solo necesitamos reforzar esos entornos o debemos cumplir con cada requisito de PCI y asegurarnos de que se cumpla? Entendemos que tenemos que hacer eso para el sitio principal.
-
Entendemos que la evaluación de riesgos es un requisito para el PCI. Como solo lo estamos implementando, ¿cuándo deberíamos realizar una evaluación de riesgos? ¿Al principio, cuando definimos el alcance o en algún momento posterior?
-
¿Deberíamos pasar por el SAQ para ver dónde estamos (análisis de brechas) antes o después de la evaluación de riesgos?
Muchas gracias por tu ayuda !!!