Requisito de PCI 8.3 - 2FA para todos los accesos a la red que se originan fuera de la red

Navega tus respuestas
0
  

Requisito 8.3: incorpore autenticación de dos factores para el control remoto   Acceso a la red originado desde fuera de la red por personal   (incluidos los usuarios y administradores) y todos los terceros, (incluidos   acceso del proveedor para soporte o mantenimiento).

Situación actual:

Necesitamos ser compatibles con PCI en 2 regiones (por ejemplo, Japón y Tailandia) pero tenemos otros 5 países en Asia que están interconectados con un enlace MPLS privado.

En Japón y Tailandia cumplimos con el nivel 4 de PCI. Hemos implementado 2FA para proveedores / proveedores de servicios, etc.

Mi pregunta es: ¿Las otras oficinas (Singapur, Malasia, India) tienen acceso restringido a Japón y Tailandia, ya que podemos conectarnos a través del enlace privado MPLS? ¿O está bien ya que nos estamos conectando solo a través de un enlace privado?

    
pregunta PCIrs 17.08.2015 - 10:45
fuente

1 respuesta

2

Descargo de responsabilidad: IANAQSA, y si está en el nivel 4, es probable que no tenga uno. Tenga cuidado.

  

Mi pregunta es: haga las otras oficinas (Singapur, Malasia, India)   Acceso restringido a Japón y Tailandia, ya que somos capaces de conectar   ¿A través del enlace privado MPLS? ¿O está bien ya que nos estamos conectando solamente?   a través de un enlace privado.

Esta es realmente una cuestión de alcance: consulte las páginas 10-11 de PCI DSS 3.1 . La Sección 8.3 está diseñada para cubrir el caso de acceso remoto (que generalmente significa acceso intermitente, no siempre encendido).

La guía para 8.3 dice:

  

Si el acceso remoto es a la red de una entidad que tiene la información adecuada   segmentación, de modo que los usuarios remotos no puedan acceder o impactar la   Entorno de datos del titular de la tarjeta, autenticación de dos factores para remoto   no se requeriría acceso a esa red.

y la sección Segmentación de la red en la página 11 dice:

  

Sin una segmentación de red adecuada (a veces llamada "plano"   red ") toda la red está dentro del alcance de la evaluación PCI DSS.   La segmentación de la red se puede lograr a través de una serie de   medios lógicos, tales como cortafuegos internos de red correctamente configurados,   enrutadores con fuertes listas de control de acceso u otras tecnologías que   restringir el acceso a un segmento particular de una red. Para ser considerado   Fuera del alcance de PCI DSS, un componente del sistema debe estar correctamente aislado   (segmentado) desde el CDE, de manera que incluso si el sistema fuera de alcance   El componente fue comprometido, no pudo afectar la seguridad del CDE.

La respuesta a tu pregunta es:

  1. Si los sitios remotos (Singapur / Malasia / India) tienen acceso sin restricciones a sus redes dentro del alcance en Japón / Tailandia a través del MPLS, entonces también están dentro del alcance y requieren el mismo nivel de controles PCI que Japón / Tailandia (Eso incluye 2FA para cualquier usuario remoto-remoto, por ejemplo, los usuarios que hacen VPN en la India y luego pueden conectarse a través del MPLS a Japón)
  2. Si los sitios remotos están correctamente restringidos a través de la Segmentación de la red como se describe en el DSS, no se requiere 2FA para el sitio o para el acceso desde el sitio en general. El acceso de un usuario en un sitio remoto a los recursos dentro del alcance de un sitio dentro del alcance puede requerir 2FA, nuevamente, para la cita 8.3:
  

Sin embargo, se requiere autenticación de dos factores para cualquier acceso remoto   a redes con acceso al entorno de datos del titular de la tarjeta

(De hecho, dependiendo del QSA, si tiene redes tanto dentro como fuera del alcance en sus sitios de Japón / Tailandia, es posible que necesite múltiples factores para identificar a los usuarios locales del sitio que acceden al alcance) CDE de la red fuera de alcance. He visto diferentes niveles de rigor en este tema de diferentes QSA)

    
respondido por el gowenfawr 18.08.2015 - 15:18
fuente

Lea otras preguntas en las etiquetas

La diferencia entre los protocolos de autenticación y las reglas de autenticación ¿Cómo bloquear los programas de desvío que evitan los firewalls?