¿Por qué el requisito 4.1 de PCI DSS no coincide con el SAQ?

Question

¿Por qué el requisito 4.1 de PCI DSS no coincide con el SAQ?

#1 de Jonah Benton (1 votos)

6

En el estándar PCI DSS (v3.1) , 4.1 (i) lee:

Para todos los demás entornos que utilizan SSL y / o TLS anterior: revise el   Un plan documentado de mitigación de riesgos y migración para verificar que incluye:


Descripción del uso, incluida la información que se transmite,   tipos y cantidad de sistemas que usan y / o soportan SSL / early TLS,   tipo de entorno;

Resultados de la evaluación de riesgos y reducción de riesgos   controles en su lugar;


Descripción de los procesos a monitorear para nuevos   vulnerabilidades asociadas con SSL / Early TLS;



Descripción de   Procesos de control de cambios que se implementan para garantizar SSL / Early TLS.   no se implementa en nuevos entornos;


Descripción general de la migración   plan de proyecto que incluye la fecha de finalización de la migración de destino a más tardar   30 de junio de 2016.

Sin embargo, en SAQ D este texto está en 4.1 (g) y no hay (i).

¿Por qué hay una diferencia?

Lo verifiqué y esto parece ser lo mismo en v3.2 también (y también para el comerciante SAQ-D).

pci-dss

pregunta SilverlightFox 05.09.2016 - 12:46

fuente

1 respuesta

Lea otras preguntas en las etiquetas pci-dss

Cómo enviar solicitudes GET / POST sin encabezado ni información de agente ¿La comunicación del bus CAN necesita cifrado?

score 1 · Answer 1

Destilación de comentarios:

El documento de estándares de PCI DSS contiene el lenguaje de requisitos y también contiene procedimientos de prueba (columna 2) y orientación (columna 3) para QSA y para aquellos que se preparan para una visita de un QSA. Los requisitos están numerados en formato de MAJOR.MINOR y los procedimientos de prueba apropiados para un uso de cartas de requisito. Los procedimientos de prueba no son requisitos en sí mismos.

El SAQ es un cuestionario para autoevaluadores. Las preguntas apropiadas para un requisito particular de PCI DSS también usan letras bajo el formato de requisito MAJOR.MINOR.

Las letras en estos dos documentos no tienen la intención de alinearse. Los procedimientos de prueba y la guía para los QSA son diferentes a las preguntas destinadas a la autoevaluación.

Si uno califica para la autoevaluación, entonces puede usar los procedimientos de prueba y la guía en el documento de requisitos para profundizar su comprensión de las expectativas de cumplimiento, pero uno es el único responsable de responder las preguntas en el SAQ.

Si uno no califica para autoevaluarse, entonces se debe ignorar el SAQ.