Este debate contiene 3 respuestas, tiene 3 mensajes y lo actualizó David Acosta David Acosta hace 4 meses, 2 semanas.

  • Autor
    Publicaciones
  • #49531
    Avatar
    Andres
    Participante

    Hola David

    El router adsl del proveedor seguramente forma parte del alcance PCI DSS ya que por allí salen las comunicaciones de nuestros dispositivos, pero si tiene vulnerabilidades que no podemos solucionarlas porque escapa de nuestras manos, cuál es tu recomendación?

    Gracias una vez más,

  • #49537
    Avatar
    Pablo Garcia
    Participante

    Hola Andres, con respecto a tu comentario me permito hacerte un par de observaciones, en cuanto a la actualización y subsanacion de vulnerabilidades por un ISP, no deberías tener ningún problema y en cuanto lo solicitaras lo ejecutarían, «no está fuera de tu alcance » puedes escanea el dispositivo y si es necesario documenta vulnerabilidad y solicitud de subsanacion dentro de los plazos que PCI maneja. Otra solución es cambiar el router del ISP por otro propio que gestiones de manera directa, evitando así el elemento del ISP.

    Slds.

  • #49544
    Avatar
    Andres
    Participante

    Gracias Pablo

    Pero mientras tanto la auditoría es PCI fail, ya que el router ADSL del proveedor usa SSLv2 y mientras no se solucione, qué hacemos para pasar la auditoría?

  • #49645
    David Acosta
    David Acosta
    Participante

    Hola Ándrés:
    Estoy de acuerdo con Pablo, ya que el equipamiento del ISP está fuera del alcance de PCI DSS (FAQ #1044 «Do ISPs that provide only internet connection need to comply with the PCI DSS?» https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Do-ISPs-that-provide-only-internet-connection-need-to-comply-with-the-PCI-DSS).
    Si esto afecta tu cumplimiento de PCI DSS, entonces tienes dos opciones:
    – Notificar a tu proveedor de escaneos ASV de que se trata de un equipo fuera de ámbito para que lo documente en el informe.
    – Cambiar el router/dispositivo por otro que no tenga problemas.
    No obstante, aquí asumo que esa vulnerabilidad no afecta de ninguna forma a tus canales de pago ni el servicio con la vulnerabilidad hace parte de tus flujos de pago. De lo contrario, habría que revisar con detalle la implicación de ese servicio en tu seguridad.
    Saludos,
    David

Debes estar registrado para responder a este debate.