Nuestra organización está en proceso de determinar si el alcance de nuestro PCI DSS es correcto. Hemos investigado mucho y hemos leído el documento Open PCI DSS Scoping Toolkit. Sin embargo, todavía luchamos por entenderlo completamente.
Tenemos los servidores CDE segregados en su propia VLAN detrás de los firewalls internos. Solo el entorno CDE está detrás de estos cortafuegos. Entendemos que los 12 requisitos se aplican a este segmento (dispositivos 1a).
Q1. Tenemos dispositivos fuera de nuestro segmento PCI que brindan servicios al segmento PCI. Esto incluye Active Directory, SIEM y Anti-Virus. A nosotros nos parece que estos dispositivos pertenecen a la categoría "2a" y están dentro del alcance. El kit de herramientas establece que todos los controles PCI aplicables son necesarios para los sistemas de Categoría 1 y 2a. ¿Eso significa que tenemos que mover todos estos dispositivos detrás del firewall al entorno CDE? O podemos dejarlo como está, y proteger estos servidores con todos los controles PCI aplicables (también introducir los estándares de fortalecimiento) y luego documentar todos los puertos requeridos que deben abrirse en el firewall para que estos servidores proporcionen los servicios requeridos a nuestros servidores. Entorno CDE?
Q2. Uno de nuestros departamentos más grandes funciona en forma de centro de llamadas. Ellos toman los datos de la tarjeta por teléfono y luego los ingresan al software que está instalado en su PC. Este software se conecta al servidor en el entorno CDE. Nada se almacena localmente en la PC. Todo se envía y almacena en este servidor único en un entorno CDE. La conexión entre la PC y el servidor está encriptada. Además, después de que se hayan ingresado los datos, si el representante del centro volvió a ingresar para verificar el número de la tarjeta, solo podrían ver los últimos 4 dígitos para fines de verificación. Nuestra pregunta es acerca de estas PC (entendemos que están dentro del alcance), pero ¿necesitamos moverlas dentro del entorno CDE donde se encuentra el servidor o dejarlas donde están, y aplicar todos los controles PCI aplicables y los controles de fortalecimiento basados en host? (FIM, SIEM, antivirus, parches, controles de acceso, monitoreo, etc.). Solo se requiere 1 puerto para que la PC (software en la PC) se comunique con el servidor dentro del segmento CDE. Ese es el único puerto que permitimos a través del firewall y lo tenemos documentado.
Gracias por tu ayuda.