¿Podemos usar el mismo servidor de AD tanto para usuarios de VLAN PCI como para usuarios de VLAN no PCI? En cuanto al proxy, tenemos un Proxy, pero tanto el tráfico de los usuarios PCI como los que no son PCI fluyen a través de esos Proxy.
Pero hemos segmentado la VLAN para usuarios PCI y no PCI ¿Es compatible con PCI?
Todo depende de cómo se implementa, pero sí, es ciertamente factible. Digamos que tiene un segmento de red A que contiene sistemas que manejan datos de titulares de tarjetas, segmento de red B con servidores AD y segmento de red C con sistemas que no manejan datos de titulares de tarjetas en cualquier capacidad, no tienen acceso al segmento A y la administración de sistemas dentro de A y B se realiza utilizando un servidor bastion o servidor de salto dentro del segmento B. En este escenario, podría haber una segmentación efectiva y, dependiendo de los controles de seguridad implementados, debería verse bien para usar el mismo AD en todo momento. Incorpore el control de acceso basado en roles, la supervisión y el registro, la evaluación de riesgos, etc., y estará más cerca del cumplimiento.
En cuanto al proxy, ¿el proxy transmite los datos del titular de la tarjeta y qué postura / riesgo de seguridad tiene? Lo más probable es que se considere que el servidor proxy está dentro del alcance, aunque podría ser utilizado por sistemas tanto dentro como fuera del alcance.