具有标记化的 PCI-DSS 范围

信息安全 pci-dss
2021-09-06 05:21:38

我的组织现在正在使用标记化,我们不再存储任何信用卡信息。

我现在认为我可能不再需要以下一些控件:-(可能还有其他控件,尽管这些是主要控件)
11.1 - 每季度测试无线接入点的存在并检测未经授权的无线接入点。
** 不再需要,因为我的环境中不允许使用 Wifi,并且令牌化服务器位于 DC 中** 11.2 - 至少每季度运行一次内部和外部网络漏洞扫描......
** 考虑减少我的外部 PCI- DSS 扫描成本和继续使用外部漏洞评估工具** 11.3 每年至少执行一次外部和内部渗透测试.....
如果需要,我会从渗透测试中去除 PCI-DSS 系统的范围。(无论如何我都不会做的事情)

你觉得呢?你有没有什么想法?一旦你使用标记化,你能极大地了解吗?
- 无线将不会连接持卡人数据环境。- 我仍然需要对令牌化系统进行控制,包括我上面提到的那些。- 如果令牌化系统在我的 DMZ 中,其他服务器都具有可路由的 IP 地址,这是否意味着所有这些系统都将属于 CDE 并且仍需要作为 11.2 和 11.3 的一部分进行扫描?

与外部公司合作的 QSA 告诉我们,一切仍在 PCI-DSS 的范围内。他最近将我们的电子邮件服务器添加到 CDE 范围内,因为员工在订购鲜花或航班时会通过电子邮件发送他们的个人或公司信用卡号。想法?电子邮件服务器问题是我将通过策略解决的问题。

我的 QSA 朋友说是的 descope,你可能不再需要一些控制。究竟是什么,我现在不确定。

PCI 表示“令牌化解决方案不会消除维护和验证 PCI DSS 合规性的需要,但它们可以通过减少适用 PCI DSS 要求的系统组件的数量来简化商家的验证工作”

“必须通过强大的安全控制和监控来保护令牌化系统和流程,以确保这些控制的持续有效性”

https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf

谢谢。

2个回答

无线不会连接持卡人数据环境

嗯,这就是扫描应该确定的,不是吗?

如果令牌化系统在我的 DMZ 中,其他服务器都具有可路由的 IP 地址

这听起来不是一个好主意。您的 DMZ 应该是外部世界和您的代币化系统之间的缓冲区,它本身应该位于受保护的内部 CDE 网络中。

这是否意味着所有这些系统都将属于 CDE 并且仍需要作为 11.2 和 11.3 的一部分进行扫描?

如果两台机器之间没有网络边界/控制点,其中一台是存储/处理/传输持卡人数据,那么两台机器都在 CDE 中,是的。

我们需要考虑我们的电子邮件服务器,因为员工在订购鲜花或航班时会发送信用卡号码。

请准确描述这里发生的事情,因为这听起来很有问题。如果信用卡号在电子邮件中以明文形式显示,这与 PCI 的所有意图(和常识)背道而驰,并且如果员工正在访问卡号以从他们的桌面发送它们,那么您只是将所有公司桌面带入范围也。

或者您是在谈论员工使用自己的信用卡购买东西,而与您作为商家的运营无关?如果是这样,这不是您需要担心的问题。(但仍然 - 电子邮件中的卡号......什么?!)

你需要问自己的问题,“清晰的卡号是否触动了我的服务器”,

如果您使用令牌化,答案可能仍然是肯定的,您可能在范围内,因为要发送任何类型的卡授权,您仍然需要向令牌化服务询问 PAN 的清晰版本,从而将您的服务器纳入范围。

令牌化允许您将数据库安全、密钥管理等置于您的背后,但您的服务器仍在范围内,理论上仍然可以在您的日志等一些意想不到的地方找到 PAN。

其它你可能感兴趣的问题
上一篇虚拟化 (IaaS) 如何防止 CPU 微码更新和固件更改? 下一篇具有通配符记录的区域可以进行 NSEC 域枚举吗?