Requisito de prueba de penetración de PCI DSS 11.3.4

1

Soy bastante nuevo en PCI DSS y estoy confundido sobre el requisito de realizar la prueba de la pluma según 11.3.4. como dice: -

  

¿Se definen los procedimientos de prueba de penetración para probar toda la segmentación?   métodos, para confirmar que son operacionales y efectivos, y aislar   ¿Todos los sistemas fuera de alcance de los sistemas en el CDE?

Somos una pequeña empresa con una única máquina de tarjetas que acepta pagos por teléfono.

Por lo tanto, el CDE es esencialmente la compañía completa, ya que la máquina de tarjetas se conecta a Internet a través del enrutador de banda ancha. Tenemos una DMZ con una sola máquina que se ejecuta en ella para el acceso al correo electrónico, pero no tiene puertos abiertos entre la DMZ y la red interna. Además, cuando realizamos un escaneo de red, incluyo las IP externas de la máquina en la DMZ además de las IP de la LAN.

¿Todavía necesito hacer una prueba de la pluma en nuestra LAN desde la DMZ como me parece, ya está todo dentro del alcance de PCI DSS?

    
pregunta li_greeny 06.03.2018 - 10:43
fuente

1 respuesta

1

§11.3.4 está dirigido específicamente a organizaciones que utilizan la segmentación para limitar su alcance de PCI. Cuando dices:

  

Así que el CDE es esencialmente la compañía completa como la máquina de tarjetas   se conecta a internet a través del enrutador de banda ancha.

Parece que no estás en esta categoría. Si la máquina de tarjetas está en la misma red plana que todas las otras máquinas internas de la empresa, entonces sí, todas están dentro del alcance. Si ese es el caso, entonces el § 11.3.4 no se aplica a usted: aquí está el texto completo con énfasis en las partes que distinguen de lo que está haciendo:

  

11.3.4 Si se usa la segmentación para aislar el CDE de otras redes, realice pruebas de penetración al menos una vez al año y después de cualquier cambio en   La segmentación controla / los métodos para verificar que los métodos de segmentación   son operativos y efectivos , y aíslan todos los sistemas fuera de alcance   de sistemas en el CDE.

No está utilizando la segmentación para aislar, por lo que no necesita verificar que lo está haciendo de manera efectiva. No tiene sistemas fuera de alcance aislados del CDE.

Por lo tanto, aún debe realizar una prueba de lápiz de todo según §11.3.2, simplemente no necesita verificar su segmentación (inexistente).

    
respondido por el gowenfawr 20.07.2018 - 15:42
fuente

Lea otras preguntas en las etiquetas