¿PCI DSS requiere un SAQ para cada sitio?

1

Estoy con una organización que apenas está comenzando a trabajar en PCI. Tenemos 3 sitios que están conectados a través de conexiones punto a punto. Sólo el sitio principal almacena los datos del titular de la tarjeta. Los otros dos sitios tienen estaciones de trabajo que se conectan al entorno de datos del titular de la tarjeta a través de una conexión cifrada. Necesitamos que los 3 sitios sean compatibles con PCI.

Basado en la información anterior, tengo algunas preguntas ...

  1. ¿Necesitamos un SAQ por separado para cada sitio? ¿O solo para el sitio principal?

  2. Entendemos que los 2 sitios que no almacenan datos del titular de la tarjeta están dentro del alcance, sin embargo, ¿solo necesitamos reforzar esos entornos o debemos cumplir con cada requisito de PCI y asegurarnos de que se cumpla? Entendemos que tenemos que hacer eso para el sitio principal.

  3. Entendemos que la evaluación de riesgos es un requisito para el PCI. Como solo lo estamos implementando, ¿cuándo deberíamos realizar una evaluación de riesgos? ¿Al principio, cuando definimos el alcance o en algún momento posterior?

  4. ¿Deberíamos pasar por el SAQ para ver dónde estamos (análisis de brechas) antes o después de la evaluación de riesgos?

Muchas gracias por tu ayuda !!!

    
pregunta ITsoccer 23.09.2016 - 23:43
fuente

1 respuesta

2

Respuestas rápidas desde un dispositivo móvil:

  1. PCI es un compromiso a nivel de organización, por lo tanto, es uno por entidad legal que tiene un acuerdo de procesamiento o de comercialización de CDE o de otro tipo u otro compromiso con tarjetas.

  2. Realmente ninguno de los dos, pero este último está más cerca. Cada requisito debe cumplirse en todo el alcance. Aquel que ordinariamente hace la planificación de TI por sitio es irrelevante.

    Parece que lo que se necesitará es una partición y segregación en los sitios para que se pueda definir un alcance razonablemente.

  3. El alcance debe ser lo primero, luego los riesgos se pueden evaluar para un alcance determinado. Dicho esto, definir el alcance es complejo y comprender los riesgos puede ayudar enormemente a incentivar a todas las partes a reducir y aplicar el alcance más pequeño posible.

  4. Puede usar el SAQ para un análisis de brechas tan pronto como tenga un alcance.

respondido por el Jonah Benton 24.09.2016 - 00:36
fuente

Lea otras preguntas en las etiquetas