Tenemos nuestro entorno de datos de titulares de tarjetas (CDE) alojado en un modelo local (centro de datos privado), excepto que la solución SIEM se implementa para el registro y el monitoreo en la nube privada. donde reenviamos solo registros de seguridad y no reenviamos ningún registro relacionado con los registros de transacciones / datos del titular de la tarjeta. ¿Todavía necesitamos incluir la solución SIEM en la nube en el ámbito de CDE para el requisito de PCI DSS ...?
El entorno de datos del titular de la tarjeta (CDE) está limitado a los segmentos de red que almacenan, procesan y transmiten datos del titular de la tarjeta. Los componentes de su sistema dentro del alcance están más allá de este CDE, ya que los sistemas que brindan seguridad u otros servicios están sujetos a validación, es decir, autenticación, administración de actualizaciones / parches, orquestación, antivirus, registro, FIM.
Esto significa que su solución SIEM debe ser validada. El sistema debe hacer al menos lo siguiente:
O usted o el proveedor de servicios en la nube deben probar todo lo anterior o su proveedor de servicios en la nube puede proporcionar pruebas para demostrar que lo anterior ya ha sido validado, es decir, proporcionando una Declaración de cumplimiento del alcance del servicio proporcionado.
Lea otras preguntas en las etiquetas credit-card cloud-computing siem pci-scope