Descargo de responsabilidad: IANAQSA, y si está en el nivel 4, es probable que no tenga uno. Tenga cuidado.
Mi pregunta es: haga las otras oficinas (Singapur, Malasia, India)
Acceso restringido a Japón y Tailandia, ya que somos capaces de conectar
¿A través del enlace privado MPLS? ¿O está bien ya que nos estamos conectando solamente?
a través de un enlace privado.
Esta es realmente una cuestión de alcance: consulte las páginas 10-11 de PCI DSS 3.1 . La Sección 8.3 está diseñada para cubrir el caso de acceso remoto (que generalmente significa acceso intermitente, no siempre encendido).
La guía para 8.3 dice:
Si el acceso remoto es a la red de una entidad que tiene la información adecuada
segmentación, de modo que los usuarios remotos no puedan acceder o impactar la
Entorno de datos del titular de la tarjeta, autenticación de dos factores para remoto
no se requeriría acceso a esa red.
y la sección Segmentación de la red en la página 11 dice:
Sin una segmentación de red adecuada (a veces llamada "plano"
red ") toda la red está dentro del alcance de la evaluación PCI DSS.
La segmentación de la red se puede lograr a través de una serie de
medios lógicos, tales como cortafuegos internos de red correctamente configurados,
enrutadores con fuertes listas de control de acceso u otras tecnologías que
restringir el acceso a un segmento particular de una red. Para ser considerado
Fuera del alcance de PCI DSS, un componente del sistema debe estar correctamente aislado
(segmentado) desde el CDE, de manera que incluso si el sistema fuera de alcance
El componente fue comprometido, no pudo afectar la seguridad del CDE.
La respuesta a tu pregunta es:
- Si los sitios remotos (Singapur / Malasia / India) tienen acceso sin restricciones a sus redes dentro del alcance en Japón / Tailandia a través del MPLS, entonces también están dentro del alcance y requieren el mismo nivel de controles PCI que Japón / Tailandia (Eso incluye 2FA para cualquier usuario remoto-remoto, por ejemplo, los usuarios que hacen VPN en la India y luego pueden conectarse a través del MPLS a Japón)
- Si los sitios remotos están correctamente restringidos a través de la Segmentación de la red como se describe en el DSS, no se requiere 2FA para el sitio o para el acceso desde el sitio en general. El acceso de un usuario en un sitio remoto a los recursos dentro del alcance de un sitio dentro del alcance puede requerir 2FA, nuevamente, para la cita 8.3:
Sin embargo, se requiere autenticación de dos factores para cualquier acceso remoto
a redes con acceso al entorno de datos del titular de la tarjeta
(De hecho, dependiendo del QSA, si tiene redes tanto dentro como fuera del alcance en sus sitios de Japón / Tailandia, es posible que necesite múltiples factores para identificar a los usuarios locales del sitio que acceden al alcance) CDE de la red fuera de alcance. He visto diferentes niveles de rigor en este tema de diferentes QSA)