Добрый день.


В самом начале документа "Payment Card Industry (PCI)
Data Security Standard . Requirements and Security Assessment Procedures"

Есть такое : "The PCI DSS security requirements apply to all system components. “System components” are defined as any network component, server, or
application that is included in or connected to the cardholder data environment. ...."


Фраза or connected to the cardholder data environment, наводит уныние, так как практически любой компонент инфраструктуры "connected to the cardholder data environment", даже учитывая сегментирование сети.

Если с CDE все достаточно просто, то с обеспечиывающими сервисами(серверами) и не понятно.
Подскажите по каким критериям можно оценить, попадает тот или иной сервис(сервер) под требования PCI (хранение логов,контроль целостности, регулярное обновления и т.д. ).

Ниже ряд конкретных случаев,по которым нет понимание, попадает под скоп системный компонент или нет.

1)Почтовый серер получает из СDE выписки с маскированным PAN и полным СN (не в сегменте CDE)
2) Active Directory сервера, обеспечивают авторизацию пользователей при доступе в сегмент CDE (не в сегменте CDE)
3) ПО и сервера автоматизации, CD (Card Data) не обрабатывают, но запускают удаленные процессы обработки в CDE.(не в сегменте CDE)
4) Сервера мониторинга, серверов, БД, приложений - connected to the cardholder data environment (SNMP, ODBC)(не в сегменте CDE)
5) VWvare и виртуальные машины, часть гостевых систем попадает в CDE, часть connected СDE. часть не имеет отношения к карточным процессам, что попадает в область оценки:
a) Хост ситема VM и гостевые системы CDE ?
б) Только гостевые системы CDE
в) Хост ситема VM и все гостевые системы.

Буду признателен за помощь.

В большинстве (если не во всех) перечисленных случаев системы попадают как в область действия стандарта, так и в область оценки. Впрочем компетентное и авторитетное мнение вы можете получить непосредственно от QSA-аудиторов, связавшись по вопросу определения scope с Павлом Рузиным по телефону (495) 980-2345.