Я пытаюсь определить, какие серверы, рабочие станции и т. Д. Подпадают под соответствие требованиям PCI. В стандарте PCI DSS SAQ-D указано, что любые устройства, которые «хранят, обрабатывают или передают данные о держателях карт», входят в сферу его применения.
Итак, как насчет компьютеров, используемых бухгалтерией для входа на веб-сайт банка, где можно просмотреть полные номера карт. Сами компьютеры не хранят, не обрабатывают и не передают данные о держателях карт.
Эти бухгалтерские компьютеры входят в сферу охвата?
Я полагаю, вы имеете в виду, что бухгалтеры видят данные о держателях карт для людей кроме себя. Компьютеры делать хранить и передать или вызвать передачу данных о держателях карт в этом сценарии. (По той же причине, по которой у меня дома есть вторая изолированная сеть; один из моих персональных компьютеров рассматривается как подпадающий под PCI-DSS из-за некоторой работы, которую я выполняю.)
Стандарт PCI DSS дает понять, что они применяются к компьютерам, используемым любым лицом, имеющим доступ к данным о держателях карт, включая ноутбуки или мобильные устройства, которым разрешено подключаться к среде данных о держателях карт. Он также указывает, что PAN должен отображаться полностью только тем людям, у которых есть законная потребность в его просмотре. Это может включать или не включать ваших бухгалтеров.
Рассмотрим, например, злоумышленника, который просматривает кеши браузеров бухгалтеров, или сотрудника, который получает доступ к данным, чтобы вывести их из сети и продать кому-то в Восточной Европе (более сложная проблема). Это расширяет их возможности.