作为Web开发人员,我应该将哪些SAQ作为PCI DSS自我评估的一部分填写?

时间:2015-12-04 11:29:42

标签: php pci-compliance pci-dss

作为电子商务应用程序的网络开发人员,我有哪些要求作为自我评估部分。作为PCI DSS的一部分,我有很多SAQ,s(自我评估问卷)。

在整个开发生命周期中应该关注什么范围。

  • 开发
  • 测试
  • 部署
  • 您可能会想到的任何其他方面?

是否有任何开源工具支持此流程(评估和跟踪)等?

1 个答案:

答案 0 :(得分:3)

只有QSA可以给你正式答案,但我可以给你一些想法。

如何使用网络应用?这有助于确定您的范围:

  • 仅供您自己使用吗?最好的方案是直接从PCI兼容的提供商(通常是支付网关)使用iFrame或整页,这可能是SAQ A.如果你需要做直接发布(即信用卡详细信息从不接触你的服务器)那么您可以使用SAQ A-EP。如果信用卡号接触到你的服务器那么它是SAQ D.目标是SAQ A它会让你头疼。
  • 您是否为客户提供在他们可以控制代码或服务器的系统中使用它?看看PA-DSS。
  • 您是否将其作为服务提供给无法控制系统的客户?那你需要SAQ D服务提供商。

查看要求6,了解SDLC的需求。

工具方面有PCI scoping toolkit,我不确定这是你要求的。

相关问题
最新问题