Alcance de DSS de PCI fuera de CDE

0

Nuestra organización está en proceso de determinar si el alcance de nuestro PCI DSS es correcto. Hemos investigado mucho y hemos leído el documento Open PCI DSS Scoping Toolkit. Sin embargo, todavía luchamos por entenderlo completamente.

Tenemos los servidores CDE segregados en su propia VLAN detrás de los firewalls internos. Solo el entorno CDE está detrás de estos cortafuegos. Entendemos que los 12 requisitos se aplican a este segmento (dispositivos 1a).

Q1. Tenemos dispositivos fuera de nuestro segmento PCI que brindan servicios al segmento PCI. Esto incluye Active Directory, SIEM y Anti-Virus. A nosotros nos parece que estos dispositivos pertenecen a la categoría "2a" y están dentro del alcance. El kit de herramientas establece que todos los controles PCI aplicables son necesarios para los sistemas de Categoría 1 y 2a. ¿Eso significa que tenemos que mover todos estos dispositivos detrás del firewall al entorno CDE? O podemos dejarlo como está, y proteger estos servidores con todos los controles PCI aplicables (también introducir los estándares de fortalecimiento) y luego documentar todos los puertos requeridos que deben abrirse en el firewall para que estos servidores proporcionen los servicios requeridos a nuestros servidores. Entorno CDE?

Q2. Uno de nuestros departamentos más grandes funciona en forma de centro de llamadas. Ellos toman los datos de la tarjeta por teléfono y luego los ingresan al software que está instalado en su PC. Este software se conecta al servidor en el entorno CDE. Nada se almacena localmente en la PC. Todo se envía y almacena en este servidor único en un entorno CDE. La conexión entre la PC y el servidor está encriptada. Además, después de que se hayan ingresado los datos, si el representante del centro volvió a ingresar para verificar el número de la tarjeta, solo podrían ver los últimos 4 dígitos para fines de verificación. Nuestra pregunta es acerca de estas PC (entendemos que están dentro del alcance), pero ¿necesitamos moverlas dentro del entorno CDE donde se encuentra el servidor o dejarlas donde están, y aplicar todos los controles PCI aplicables y los controles de fortalecimiento basados en host? (FIM, SIEM, antivirus, parches, controles de acceso, monitoreo, etc.). Solo se requiere 1 puerto para que la PC (software en la PC) se comunique con el servidor dentro del segmento CDE. Ese es el único puerto que permitimos a través del firewall y lo tenemos documentado.

Gracias por tu ayuda.

    
pregunta ITsoccer 17.06.2016 - 16:00
fuente

1 respuesta

1

Respuesta a Q1

Los segmentos de red que contienen sistemas que manejan datos de titulares de tarjetas deben estar en sus propias VLAN; parece que lo ha hecho. Los sistemas que están conectados e impactan en la seguridad también están dentro del alcance, pero no necesitan estar dentro del CDE, ya que no manejan los datos del titular de la tarjeta. Esos sistemas pueden tener un alcance individual sin que la población de ese segmento de red tenga un alcance. Sería útil tener habilitados los firewalls locales como una medida de seguridad adicional.

Respuesta a Q2

El centro de llamadas debe estar en su propia VLAN para que esté segmentado lógicamente en entornos que no manejan los datos del titular de la tarjeta. El centro de llamadas es parte de su CDE.

Teniendo en cuenta lo anterior, es posible que tenga las siguientes VLAN:

  • CDE DMZ
  • CDE interno
  • centro de llamadas CDE
  • Otras cosas: pueden contener sistemas dentro del alcance, es decir, conectados a, seguridad impactando
  • Otro
respondido por el AndyMac 17.06.2016 - 17:20
fuente

Lea otras preguntas en las etiquetas