Etiquetado: 

Este debate contiene 2 respuestas, tiene 2 mensajes y lo actualizó Avatar legolas_bilbao hace 4 meses, 3 semanas.

  • Autor
    Publicaciones
  • #48819
    Avatar
    legolas_bilbao
    Participante

    Buenos días,

    estamos desplegando una nueva arquitectura de PCI-DSS y esta implica que los equipos van a mandar la sincronización de NTP a los servidores NTP que tenemos fuera del entorno PCI-DSS. ¿se puede hacer? o debemos montar un servidor NTP en el entorno PCI-DSS?

    un saludo y muchas gracias

  • #48977
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    El requisito 10.4.1 indica lo siguiente:

    Only the designated central time server(s) receives time signals from external sources, and time signals from external sources are based on International Atomic Time or UTC.

    Esto quiere decir que se debe contar con un servidor central dentro del entorno de cumplimiento que sea el encargado de sincronizarse con fuentes externas y que distribuya internamente los datos de tiempo con los demás servidores de la red. Este servidor debe estar ubicado en la DMZ para poner tener acceso a los servidores de sincronización externos ubicados en internet. Esto tiene sentido, ya que en el requerimiento 1.3 te piden restringir el acceso de tráfico entrante y saliente solamente a equipos en la DMZ y únicamente al tráfico requerido. De lo contrario, tendrías que configurar el acceso a TODOS los equipos de tu entorno para permitir tráfico saliente al servidor y al puerto de NTP del servicio de sincronización externo, y esto es un error.

    Échale un vistazo al artículo «La red ideal de PCI DSS (actualizado a PCI DSS v3.2)» (https://www.pcihispano.com/la-red-ideal-de-pci-dss/) en donde hablo acerca de la ubicación de servidores y servicios en los diferentes segmentos de la red.

    Saludos,

    David Acosta

  • #49015
    Avatar
    legolas_bilbao
    Participante

    Muchas gracias Diego.

Debes estar registrado para responder a este debate.