Mi organización ahora usa tokenización y ya no almacenamos ninguna información de la tarjeta de crédito.
Ahora creo que ya no necesito algunos de los siguientes controles: (puede haber otros, aunque estos son los principales)
11.1 - Pruebe la presencia de puntos de acceso inalámbricos y detecte puntos de acceso inalámbricos no autorizados trimestralmente.
** Ya no es necesario, ya que Wifi no está permitido en mi entorno y el servidor de tokenización está en un DC **
11.2 - Ejecute análisis de vulnerabilidad de red interna y externa al menos trimestralmente ......
** Buscando reducir mis costos de escaneo PCI-DSS externos y simplemente continuar usando herramientas de evaluación de vulnerabilidad externa **
11.3 Realice pruebas de penetración externa e interna al menos una vez al año ...
Desharía los sistemas PCI-DSS de la prueba de la pluma si fuera necesario. (Algo que no haría de todos modos)
¿Cuáles son tus pensamientos? ¿Se puede hacer una gran desconexión una vez que esté usando tokenización?
- La conexión inalámbrica no se conectará al entorno de datos del titular de la tarjeta.
- Todavía necesitaré controles en el sistema de tokenización, incluidos los que mencioné anteriormente.
- Si el sistema de tokenización está en mi DMZ con otros servidores que tienen una dirección IP enrutable, ¿esto significará que todos esos sistemas caerán bajo el CDE y aún será necesario escanearlos como parte de 11.2 y 11.3?
El QSA que funciona con nuestra compañía nos está diciendo que todo está todavía dentro del alcance de PCI-DSS. Recientemente, ha agregado nuestro servidor de correo electrónico en el ámbito de CDE cuando los empleados envían sus números de tarjeta de crédito personales o corporativos por correo electrónico cuando ordenan flores o vuelos. ¿Pensamientos? El problema del servidor de correo electrónico es algo que solucionaré a través de la política.
Mi amigo, que es un QSA, dijo que sí se descontinuó y es posible que ya no necesite algunos controles. Exactamente, no estoy seguro en este momento.
PCI dice "Las soluciones de tokenización no eliminan la necesidad de mantener y validar PCI DSS cumplimiento, pero pueden simplificar los esfuerzos de validación de un comerciante al reducir la cantidad de componentes del sistema para los cuales se aplican los requisitos de PCI DSS "
"Los sistemas y procesos de tokenización deben protegerse con controles de seguridad sólidos y monitoreo para asegurar la efectividad continua de esos controles "
Gracias.