我正试图弄清楚如何为一家只有一个所有者/架构师/开发人员/管理员/QA/等的初创企业正确填写 PCI SAC D 合规性表格 - 他们都是我一个人。
这是一个用于销售特定无形服务的网络应用。不会存储卡信息。 SAC D 的原因 - 我更愿意在我的服务器端做一些验证逻辑,并有一个与 UI 的其余部分相匹配的总审查和确认页面。
托管环境将是 AWS Beanstalk + RDS。
当我阅读它时,常识告诉我要忽略诸如“面试人员”或“审核政策和程序”之类的陈述,但我希望大型企业的头脑通常不是由常识驱动,而是由规则驱动。
这些可以跳过(N/A-ed)还是我应该正式做练习并产生一些有趣的废话?
谢谢!
【问题讨论】:
标签: pci-dss
您可以不回答这些问题。
请记住,SAQ 是一个自我评估问卷,而不是您正在参加的测试。支付卡行业更关心您是否遵守 PCI-DSS 的“精神”,而不是硬性规定。它更多的是保护持卡人数据,而不是遵守不适用于您的情况的事情。 (尽管确实适用的任何事情都绝对应该作为硬性规则来遵循。)
如果您确实接受了审核,那可能只是因为您存在违规行为,这显然不是因为您在开发项目前坐下时没有“自我审查”并佩戴安全 ID 徽章计算机:-D,我认为您将这一点传达给 QSA 完全没有任何问题。
现在,将您的所有安全政策和程序、网络图、防火墙等记录在案并定期进行审查确实适用,因为要持续遵循安全准则,必须对其进行审查在持续的基础上。对于这些,只需使用常识即可。换句话说,检查你的防火墙规则,至少按照 PCI-DSS 的要求,问问自己,“我还需要这个 ALLOW SNMP 端口 161 规则生效吗?”等等等等...哦,亲爱的,我想我只是告诉你要采访自己... :-D
无论如何,你明白了。
【讨论】:
您真的确定需要 SAQ D 吗?如果您从头开始,这是一项非常艰巨的任务。资金是否流入您的商家账户?如果是这样,您可能会摆脱 SAQ A,这将使您的生活更轻松。如果不是,那么您可能是 SAQ D 服务提供商,您别无选择,只能进行 SAQ D。在样式和验证方面,您可以使用像 Braintree 这样的 iFrame 解决方案,您有很多控制权和它显着减少了您的 PCI 范围。
根据我的经验,与持有商家帐户的银行交谈是一个很好的起点,他们热衷于开发安全系统,因此可能会就您需要做什么提供建议。您也可以参与 QSA,但它们通常并不便宜。
我不认为(尽管我不是 100% 确定)面试自己是必要的,这些说明供审核员用来确保政策和程序得到遵守。对于孤独的开发者来说,一个大问题是代码审查,你需要其他人来做。
【讨论】: