当没有CDE时，PCI-DSS范围确定

Question

我们是一位每年处理超过200万笔交易的商人。然而，我们已经将所有的支付功能外包给符合要求的第三方供应商。请理解PCI是关于人员、流程和技术的，我们已经确保了我们的任何业务流程都不需要在我们的任何系统或流程中完全覆盖，因此不存在CDE。

如果我们自己没有CDE，我们还需要有安全的防火墙、开发方法、管理访问等吗？

从最佳实践和安全角度理解这些需求。从PCI的角度来了解会很好吗？问题产生于这样一个事实:即使有人进入我们的防火墙/网络，他们也不可能得到任何清晰的文本。

Answer 1

从PCI的角度来看，您负责验证将各种职责外包给的第三方是否符合他们代表您执行的服务。要做到这一点，您应该列举这些服务提供者和每个服务提供者的责任，并检查他们的合规认证，对参与和每年进行尽职调查。

考虑到你的容量，你可以作为一个商人自我评估-你可能需要完成自我评估问卷A，其中你将回应要求12.8与上述过程有关。

Answer 2

PCI只适用于控制CDE的实体或组织.然而，如果供应商与CDE集成，则可能存在合同要求，尽管不转移CHD或敏感数据，但需要符合PCI。在这种情况下，CDE和非CDE应该使用防火墙进行分割.您可以参考第2节，了解PCI的范围界定和分段。