Säkerhetsblogg

Utsträckningen av PCI-DSS universumet

Vi kan inte lära människor allt, vi kan bara hjälpa dem upptäcka själva. [Galileo Galilei, Moderna vetenskapens fader]Galileo Galilei, Vetenskapens fader

Det är vad Galileo Galilei skrev om i Dialogue on the Two Chief World Systems som beskriver skillnader och likheter mellan Ptolemaic- och Copernicansystem vilket kan ses som relevant med PCI SSC nya informationssupplement:

Guidance for PCI DSS Scoping and Network Segmentation som släpptes i december.

Äntligen belyser de scope, dvs. vad som täcks och inte täcks. Inte minst eftersom OPEN PCI DSS SCOPING TOOLKIT aldrig erkändes som ett officiellt dokument och dessutom är något förlegat (senaste uppdateringen gjordes 2012).

Det här dokumentet ger oss råd och ett strukturerat tillvägagångssätt gällande omfattning av PCI DSS, vad som inte ska tas med och hur man kan reducera det.

Speciellt intressant är ett exempel som pratar om en uppkoppling till Jump Host som i sin tur kopplats till CDEn.

Jag ska inte gräva ner mig i det eftersom fallet beskrivs i detalj i dokumentet, utan låter er hålla till godo med en bild från dokumentet:

Jumpbox Server to CDE

 

Är ADMIN WS i scope, eller inte? Varför om så är fallet? Vilket PCI DSS-krav ska gälla? Och varför just det?

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com