Intento comprender mejor el alcance de mi entorno.
Tengo un grupo de dispositivos de categoría 2x que se utilizan para administrar un dispositivo de categoría 1b a través de un dispositivo de categoría 2a.
Entiendo que mi grupo de dispositivos 2x debe cumplir con los controles 1.4, 2, 5 y 6.1
¿Este grupo requiere la misma seguridad física (cámaras, sistemas de entrada con tarjeta, etc.)?
Descargo de responsabilidad: IANAQSA
Pregunta: ¿Se requiere que los dispositivos del grupo 2x cumplan con todos los controles PCI dentro del alcance?
Versión corta: no necesariamente, pero podrían ser ... realmente depende del asesor. El uso de categorías es una forma de presentar argumentos más persuasivos a su asesor cuando desea determinar si un dispositivo debe cumplir con controles específicos o no.
Versión larga:
El sistema de clasificación de categorías que está utilizando: Abrir PCI DSS Scoping Kit de herramientas : indica claramente:
We believe the Toolkit to be consistent with the spirit and intent of the PCI DSS.
However, the Toolkit is not endorsed by the PCI Security Standards Council in any way,
nor is it the product of an official Special Interest Group.
El propio PCI DSS no tiene el concepto de categorías 1-3 o "infección" *. Este paradigma fue lanzado por personas que estaban hartas de lidiar con la definición increíblemente ambigua "conectada" del alcance que el DSS realmente usa. En lo que respecta al DSS, todo está dentro o fuera del alcance. Y si está dentro del alcance, "... se aplican los requisitos de seguridad de PCI DSS ..."
En términos puros de PCI DSS, si está dentro del alcance, se aplican todos los requisitos.
Y si mira la tabla en la sección 6.4 de Abrir PCI DSS Kit de herramientas de alcance , verás que 1a a 2x están "en alcance":
¡Peroespere!Sileelas"Preguntas más frecuentes" en el Apéndice B del Kit de herramientas, dirija directamente su pregunta (pero es posible que no la conteste):
La respuesta: si observa el acceso que tiene un dispositivo 2x, sus limitaciones y sus controles de compensación, puede presentar argumentos razonables de que no es necesario aplicar ciertos requisitos de DSS. Y si puede convencer a su asesor de que tiene un buen caso, entonces está todo listo. (Por cierto, esto se aplica a cualquier dispositivo de categoría, pero nunca convencerá a su asesor de que un dispositivo 1a debe estar exento del DSS 3.4)
Lo invito a leer el Abrir el Kit de herramientas de evaluación de DSS de PCI , especialmente 5.5, 5.7, 6 y 10 ("Apéndice B"). El mismo mensaje se repite a lo largo de:
Por ejemplo:
10.3 ¿Por qué el Kit de herramientas no especifica qué requisitos de control de PCI DSS se aplican a cada subcategoría?
El Kit de herramientas indica que todos los controles de PCI DSS aplicables son necesarios para la Categoría 1 y 2a componentes del sistema y que no se requieren controles PCI DSS para la Categoría 3 Componentes del sistema.
Sin embargo, dado que cada organización y CDE es único, sería imposible proporcionar Orientación más específica sobre qué controles PCI DSS se requieren para cada tipo de Categoría 2b, 2c y 2x componentes del sistema. El kit de herramientas proporciona la base para una organización y su asesor para discutir cuáles son los riesgos relevantes y los controles Se requiere para mitigarlos.
* Personalmente, creo que la elección de la palabra "infección" para describir la transición de alcance entre los sistemas conectados fue un error; No conozco todas las políticas involucradas, pero estoy razonablemente seguro de que el PCI Security Standards Council nunca pondrá su sello de aprobación en un documento que hace que PCI suene como un virus.