Soy bastante nuevo en PCI DSS y estoy confundido sobre el requisito de realizar la prueba de la pluma según 11.3.4. como dice: -
¿Se definen los procedimientos de prueba de penetración para probar toda la segmentación? métodos, para confirmar que son operacionales y efectivos, y aislar ¿Todos los sistemas fuera de alcance de los sistemas en el CDE?
Somos una pequeña empresa con una única máquina de tarjetas que acepta pagos por teléfono.
Por lo tanto, el CDE es esencialmente la compañía completa, ya que la máquina de tarjetas se conecta a Internet a través del enrutador de banda ancha. Tenemos una DMZ con una sola máquina que se ejecuta en ella para el acceso al correo electrónico, pero no tiene puertos abiertos entre la DMZ y la red interna. Además, cuando realizamos un escaneo de red, incluyo las IP externas de la máquina en la DMZ además de las IP de la LAN.
¿Todavía necesito hacer una prueba de la pluma en nuestra LAN desde la DMZ como me parece, ya está todo dentro del alcance de PCI DSS?