我正在试图找出如何正确填写启动业务的PCI SAC D合规表单,只有一个所有者/架构师/开发人员/管理员/ QA /等 - 所有这些都是我一个人。
这是一个销售特定无形服务的网络应用程序。不会存储任何卡信息。 SAC D的原因 - 我更喜欢在我的服务器端执行一些验证逻辑,并且有一个与UI其余部分匹配的完整审核和确认页面。
托管环境将是AWS Beanstalk + RDS。
当我阅读它时,常识告诉我忽略诸如“面试人员”或“审查政策和程序”之类的陈述,但我希望大型企业思想通常不是由常识驱动,而是由规则驱动。
可以跳过这些(N / A-ed)还是我应该正式进行练习并产生一些有趣的废话?
谢谢!
答案 0 :(得分:0)
你真的确定你需要SAQ D吗?如果你从头开始,这是一项非常大的工作。资金是否流入您的商家帐户?如果是这样,你可能会逃脱SAQ A,这将使你的生活变得更轻松。如果没有,那么你可能是SAQ D服务提供商,除了做SAQ D之外你别无选择。在造型和验证方面你可以使用像Braintree这样的iFrame解决方案,你有很多控制并显着降低了PCI范围。
根据我的经验,与拥有商家帐户的银行交谈是一个很好的起点,他们热衷于开发安全系统,因此可能会就您需要做的事情提供建议。您也可以参与QSA,但一般来说它们并不便宜。
我不认为(虽然我不是100%肯定)需要自己面试,这些指示是供审核员用来确保遵守政策和程序。对于单独的开发人员来说,一个很大的问题是代码审查,你需要其他人来做这件事。
答案 1 :(得分:0)
你可以不提问题。
请记住,SAQ是 SELF 评估问卷,而不是您正在进行的测试。支付卡行业更关注您对“精神”的遵守情况。 PCI-DSS而不是硬快速规则。它更多地是关于保护持卡人数据,而不是遵守不适用于您的案例的事情。 (虽然 所做的任何事情都应该被视为一项严格的规则。)
如果你确实接受过审计,那可能只是因为你有违规行为,这显然不是因为你没有采访过自己"当你坐在你的开发计算机前面时,戴上安全ID徽章:-D,我不认为你在QSA上遇到任何麻烦。
现在,定期记录和审核所有安全政策和程序,网络图,防火墙等确实,因为要连续遵循安全准则,必须对其进行审核在不断的基础上。对于这些,只需使用常识。换句话说,至少按照PCI-DSS的要求检查防火墙规则,并问问自己,"我是否还需要这个允许的SNMP端口161规则才能生效?"等等... 哦,亲爱的,我想我刚刚告诉你自己采访...... :-D
无论如何,你明白了。