我正在尝试确定哪些服务器和工作站等符合PCI规范。 PCI DSS SAQ-D规定任何“存储,处理或传输持卡人数据”的设备都在范围之内。
那么会计部门用来login银行网站的电脑如何查看完整的卡号呢? 电脑本身不存储,处理或传输持卡人数据。
这些会计电脑是否在范围之内?
我认为你的意思是会计师看到持卡人的数据, 而不是他们自己 。 在这种情况下,计算机确实存储和传输持卡人数据,或者导致传输持卡人数据。 (这与我在家里有第二个隔离networking的原因是一样的,因为我做了一些工作,我的一台个人计算机被认为是PCI-DSS的范围。)
PCI DSS明确指出,这些适用于任何有权访问持卡人数据的人使用的计算机,包括允许连接到持卡人数据环境的笔记本电脑或移动设备。 它还规定,只能将PAN显示给有合法业务需要的人看。 这可能会也可能不会包括您的会计师。
考虑一个攻击者通过会计师的浏览器caching,或者是一个正在访问数据的员工,将其从networking中提取出来,然后卖给东欧的某个人(一个更难的问题)。 这带来了他们的范围。