Какие SAQ я должен заполнять как часть самооценки PCI DSS как веб-разработчик?
Какие требования я обязан выполнить как часть самооценки, как веб-разработчик для приложения электронной коммерции. У меня много SAQ, s (самооценка-вопросники) как часть PCI DSS.
Что должно быть предметом озабоченности на протяжении всего жизненного цикла разработки.
- развитие
- тестирование
- развертывание
- Любой другой аспект, вы можете подумать?
Существует ли какой-либо инструмент с открытым исходным кодом для поддержки этого процесса (оценка и отслеживание) и т. Д.?
Решение
Только QSA может дать вам официальный ответ, но я могу дать вам несколько идей.
Как используется веб-приложение? Это поможет определить вашу сферу:
- Это только для вашего собственного использования? Лучшим сценарием является использование iFrame или полной страницы напрямую от поставщика, совместимого с PCI (обычно это платежный шлюз), это может быть SAQ A. Если вам нужно сделать прямую публикацию (то есть данные кредитной карты никогда не касаются вашего сервера), тогда Вы можете использовать SAQ A-EP. Если номер кредитной карты касается вашего сервера, то это SAQ D. Цель SAQ A, это избавит вас от большой головной боли.
- Предоставляете ли вы его клиентам для использования в их собственных системах, где они контролируют код или серверы? Посмотрите на PA-DSS.
- Предлагаете ли вы это как услугу клиентам, которые не имеют контроля над системой? Тогда вам нужен поставщик услуг SAQ D.
Взгляните на требование 6, чтобы получить представление о том, что нужно для SDLC.
Инструменты-это Набор инструментов PCI, Я не уверен, что это то, что вы просите, хотя.
Другие решения
Других решений пока нет …