PCI需求11.3.4

Question

我对PCI相当陌生，我对按照11.3.4标准执行笔式测试的要求感到困惑。如其所述：-

是否定义了渗透测试程序来测试所有的分割方法，确认它们是操作的和有效的，并将所有超出范围的系统与CDE中的系统隔离开来？

我们是一家小企业，有一台可以通过电话付款的单卡机。

所以CDE本质上就是整个公司，因为卡片机通过宽带路由器连接到互联网。我们确实有一个DMZ，其中只有一台机器可以访问电子邮件，但是它在DMZ和内部网络之间没有开放的端口。此外，当我们执行网络扫描时，除了局域网的IP之外，我还在DMZ中包括机器的外部IP。

我还需要从DMZ测试我们的局域网吗?我觉得这一切都在PCI的范围内？

Answer 1

§11.3.4专门针对使用分段限制PCI范围的组织。当你说：

所以CDE本质上就是整个公司，因为卡片机通过宽带路由器连接到互联网。

听起来你不属于这一类。如果卡片机与所有其他内部公司机器位于同一平面网络上，那么是的，它们都在范围内。如果是这样的话，那么第11.3.4条就不适用于你了--这是全文，重点是区别于你在做什么的部分：

11.3.4如果分割用于将CDE与其他网络隔离，则至少每年以及在对分割控制/方法进行任何更改之后进行渗透测试，以验证分割方法是否可行和有效，并将所有范围外系统与CDE中的系统隔离开来。

您没有使用分段来隔离，因此您不需要验证您的操作是否有效。你没有从CDE中分离出来的系统。

因此，您仍然需要对每一节11.3.2中的所有内容进行笔试--它只是不需要验证您的(不存在)分段。