Guía para el alcance PCI-DSS y la segmentación de red de PCI Security Standards Council
La Guía para el alcance PCI-DSS y la segmentación de red es un documento que orienta a las organizaciones que desean comprender dónde se requieren estos controles y qué sistemas deben estar protegidos. Las recomendaciones proporcionadas en este documento pueden ser utilizadas tanto por entidades grandes como pequeñas y proporcionan una ayuda para identificar qué sistemas deben incluirse y cómo la segmentación puede ser usada para reducir el número de sistemas que requieran controles. Es un complemento pero no reemplaza los requisitos de PCI DSS, seguir estas recomendaciones no garantiza que se haya implementado una segmentación efectiva, ni tampoco garantiza el cumplimiento con PCI DSS.
Siempre la mejor forma de comenzar es asumir que todo está bajo el alcance hasta que se demuestre lo contrario.
Por otro lado, aunque un componente esté fuera del alcance, nunca debe dejarse desprotegido poniendo en riesgo a la empresa. Puede suceder que un atacante se dirija a sistemas que la entidad considera fuera de alcance para PCI DSS y aproveche esos sistemas para obtener acceso a otros sistemas, lo que eventualmente puede brindar un camino hacia los datos de tarjetahabiente.
Si bien la segmentación puede ayudar a reducir el número de puntos de exposición al entorno de datos del titular de la tarjeta (CDE), no reemplaza un enfoque global que asegure la infraestructura de una organización.
