En el siguiente requisito de PCI 2.0, no estoy seguro de cómo interpretar el acceso de la computadora a las máquinas internas (no accesible de forma remota):
Requirement 8: Assign a unique ID to each person with computer access
8.2 In addition to assigning a unique ID, employ at least one of the
following methods to authenticate all users:
- Something you know, such as a password or passphrase
- Something you have, such as a token device or smart card
- Something you are, such as a biometric
En nuestro sistema, tenemos una máquina de pasarela de acceso remoto y autentificamos a los usuarios según los requisitos de PCI-DSS.
Pero para varias tareas, necesitamos acceder a una o más máquinas internas y, por lo general, esto está completamente automatizado (por ejemplo, actualizaciones del sistema). Normalmente, esto se logra a través de SSH, utilizando inicio de sesión sin contraseña .
La clave privada reside en el servidor de la puerta de enlace (ya sea encriptado o no encriptado).
Mi pregunta es, entonces, si esto está en violación con el sub-requisito 8.2. El usuario se autentica con la máquina de la puerta de enlace, pero ¿el requisito también se aplica al acceso a las máquinas internas?
Tenga en cuenta que el objetivo general del requisito 8 es identificar de manera única el acceso a la computadora y no poner "seguridad oscura".