Security Blog

PCI DSS evreninin kapsama alanı

İnsanlara bir şey öğretemeyiz; sadece kendi içlerinde bir şey keşfetmelerine yardım edebiliriz. [Galileo Galilei, Modern bilimin babası]

Galileo GalileiGalileo Galilei’nin, Ptolemaios ve Kopernik sistemlerindeki farklılıklar ve çakışmalara değindiği İki Büyük Dünya Sistemi Hakkında Diyalog isimli eserinde yazdıkları, Aralık ayında PCI SSC tarafından yayınlanan bilgi ekine kaynak teşkil edebilir:

PCI DSS Kapsamı ve Ağ Sementasyonu için Kılavuz

Sonunda, özellikle OPEN PCI DSS SCOPING TOOLKIT’in hiçbir zaman resmi belge olarak kabul görmediğini ve eskidiğini (son sürüm 2012’de yayınlandı) göz önünde bulundurduğumuzda, bir miktar konuyla ilgili aydınlatıcı bilginin oluştuğunu söylemek mümkün.

Bilgi eki, nelerin PCI DSS kapsamı içinde olduğunu, nelerin olmadığını gösteren çeşitli tavsiyeler ve yapısal yaklaşımlar sunuyor. Ekte ayrıca kapsamın nasıl daraltılacağı ile ilgili de önemli bilgiler yer alıyor.

Özellikle iş istasyonlarıyla ilgili ilgi çeken olaylardan biri, daha önce bir Jump Host’a bağlanması, buna karşılık olarak da Jump Host’un CDE’ye bağlanmasıdır. Olayın derinlerine çok fazla inmeyeceğim; zira bilgi ekinde oldukça iyi bir şekilde anlatılmış durumda. Ancak buna mukabil; belgede yer alan bir görseli aşağıda sunuyorum:

jumpbox server'dan CDE'ye bağlantı

Görselde yer alan ADMIN WS kapsam içinde yer alıyor mu almıyor mu? Alıyorsa neden? Almıyorsa neden? Netice olarak hangi PCI DSS gereksinimi uygulanabilir? Ve neden?

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com