Tengo una pregunta con respecto a este requisito, ¿incluso el sistema no-CHD necesita usar 2FA?
Ej .: cuando se accede al servidor CHD, se solicita 2FA, pero ¿necesitamos que el sistema al que se accede también tenga 2FA?
El primer problema que parece encontrar gira alrededor de la diferencia entre los sistemas / dispositivos que procesan / almacenan / transmiten datos del titular de la tarjeta (también conocidos como sistemas / dispositivos de Categoría 1) en comparación con los sistemas / dispositivos que están conectados a esos sistemas / dispositivos de Categoría 1 ( También conocido como sistemas / dispositivos de categoría 2). La guía aquí es que si un sistema de Categoría 2 tiene la capacidad de afectar la seguridad de un sistema de Categoría 1 (es decir, el sistema / dispositivo de Categoría 2 tiene acceso de entrada al sistema (s) / dispositivo (s) CDE), entonces los administradores También debería usar MFA para acceder a los sistemas / dispositivos de Categoría 2.
Rizado de enlace
Lea otras preguntas en las etiquetas pci-dss