带有令牌化的PCI-DSS范围

Question

我的组织现在正在使用令牌化，我们不再存储任何信用卡信息。

我现在认为我可能不再需要以下一些控制：-(可能还有其他控件，尽管这些控件是主要的)。

11.1 -每季度测试是否存在无线接入点，并检测未经授权的无线接入点。

**不再需要，因为Wifi在我的环境中是不允许的，并且令牌服务器处于DC** 11.2 -运行内部和外部网络漏洞扫描至少每季度.

**考虑降低我的外部PCI-DSS扫描成本，并继续使用外部漏洞评估工具** 11.3每年至少进行一次外部和内部渗透测试.

如果需要的话，我会把PCI系统从笔试中去掉.(一些我无论如何都不会做的事)

你的想法是什么？一旦你使用了令牌，你能大大地去监视吗？

• 无线将不连接卡持有人的数据环境。-我仍然需要控制令牌系统，包括我前面提到的那些。-如果令牌化系统在我的DMZ内，其他服务器都有一个可路由的IP地址，这是否意味着所有这些系统都将属于CDE，并且仍然需要作为11.2和11.3的一部分进行扫描？

与out公司一起工作的QSA告诉我们，一切都还在PCI的范围内。他最近将我们的电子邮件服务器添加到CDE范围内，因为员工在订购鲜花或航班时通过电子邮件发送他们的个人或公司信用卡号码。有什么想法？电子邮件服务器的问题，我将通过政策来解决。

我的朋友，谁是一个QSA说，是的，除镜，你可能不再需要一些控制。确切地说，我现在还不确定。

PCI表示，“令牌化解决方案并不能消除维护和验证PCI遵从性的需要，但它们可以通过减少适用PCI需求的系统组件的数量来简化商家的验证工作。”

“必须用强有力的安全控制和监测来保护令牌化系统和过程，以确保这些控制措施的持续有效性”

https://www.pcisecuritystandards.org/documents/Tokenization_指导方针_信息_Supplement.pdf

谢谢。

Answer 1

无线将不连接卡持有人数据环境。

好吧，这就是扫描应该决定的，不是吗？

如果令牌系统在我的DMZ中，其他服务器都有一个可路由的IP地址。

听起来不是个好主意。你的非军事区应该是外部世界和你的令牌系统之间的一个缓冲区，这个系统应该在一个受保护的内部CDE网络中。

这是否意味着所有这些系统都将属于CDE，并仍需作为11.2和11.3的一部分进行扫描？

如果两台机器之间没有网络边界/控制点，其中之一是存储/处理/传输持卡人数据，那么这两台机器都在CDE中，是的。

我们需要考虑我们的电子邮件服务器，因为员工发送信用卡号码时，他们订购鲜花或航班。

请详细描述一下这里正在发生的事情，因为这听起来很成问题。如果信用卡号码在电子邮件中清清楚楚，这违背了PCI的每一个意图(以及常识)，而且如果员工正在访问信用卡号码，以便从他们的台式机上发送信用卡号码，那么您刚刚将所有的公司台式机都纳入了范围。

或者你说的是员工使用自己的信用卡购买东西，而不是你作为商人的业务？如果是这样，这不是你要担心的问题。(但电子邮件中的卡号.什么？！)

Answer 2

你需要问自己的问题是：“一个清晰的卡号会影响我的服务器吗？”

如果您正在使用令牌化，答案可能仍然是肯定的，您可能在范围内，因为要发送任何类型的卡授权，您仍然需要向令牌化服务请求明确版本的PAN，从而使您的服务器处于范围内。

令牌化允许您保持DB安全性、密钥管理等远离您的后台，但是您的服务器仍然在范围内，理论上可以在日志中的一些意想不到的地方找到PAN。