Al analizar la importancia potencial de esos servidores de registro para la seguridad de la organización, no dudaría en implementar la autenticación multifactor en ellos. PCI DSS requiere principalmente la pista de auditoría para informar las consecuencias de una infracción, y eso significa dinero. Si se viola, puede usar esos datos para decir "el atacante golpeó el sistema de pago X del 3 al 10 de enero, pero nunca ingresó a la base de datos", lo que puede limitar su responsabilidad a los siete días de datos que fluyeron a través del sistema X. Sin un registro confiable , los investigadores podrían afirmar que "no está seguro, por lo que estamos encontrando que todos los datos de octubre a enero están en riesgo". Esa podría ser la diferencia entre miles de cuentas y millones; que podría ser la diferencia entre enviar algunas cartas de notificación y terminar en las noticias nocturnas. Ambos son malos, pero créeme, uno es mucho peor.
Esos son solo los costos del peor caso. Desde el punto de vista arquitectónico, los datos de registro son el lugar ideal para conectar motores analíticos para ayudarlo a detectar temprano una actividad anómala, y pueden ayudarlo a identificar una intrusión mucho antes de que el atacante se vaya con sus datos. Entonces, si bien muchos intrusos son del tipo de captura y captura, algunos de los agentes de amenazas APT más serios intentan cubrir sus huellas y buscan formas de deshabilitar el registro y los análisis para que puedan permanecer ocultos durante mucho tiempo. No te lo pongas fácil.
Y si ya tiene instalado un sistema 2FA para acceder al resto de las máquinas dentro del alcance, no debería ser mucho más difícil extender esa capacidad a su servidor de registro también.
Sin embargo, la respuesta oficial será "lo que su QSA decida que es seguro". La autenticación multifactor sin duda hará que sea mucho más fácil para ella firmar este requisito. Pero realmente, debería querer que esos servidores estén seguros, incluso más que el auditor.