Какие SAQs я должен заполнить как часть самооценки PCI DSS в качестве веб-разработчика?

Question

Какие требования я обязуюсь выполнять как часть самооценки, как веб-разработчик для приложения электронной коммерции. У меня есть много SAQ,s (самооценка-вопросники) как часть PCI DSS.

Что должно быть предметом озабоченности на протяжении всего жизненного цикла разработки.

• Разработка
• Тестирование
• Развертывание
• Любой другой аспект вы могли бы подумать?

Есть ли какой-либо инструмент с открытым исходным кодом для поддержки этого процесса (оценка и отслеживание) и т. Д.?

Answer 1

Только QSA может дать вам официальный ответ, но я могу дать вам некоторые идеи.

Как используется веб-приложение? Это поможет определить вашу область действия:

• Это только для вашего собственного использования? Лучшим сценарием является использование iFrame или полной страницы непосредственно у поставщика, совместимого с PCI (как правило, шлюза оплаты), это может быть SAQ A. Если вам нужно сделать прямой пост (то есть данные кредитной карты никогда не касаются вашего сервера), тогда вы можете использовать SAQ A-EP. Если номер кредитной карты касается вашего сервера, то это SAQ D. Цель SAQ A - это сэкономить вам большую головную боль.
• Предоставляете ли вы его клиентам для использования в своих системах, где они имеют контроль над кодом или серверами? Взгляните на PA-DSS.
• Вы предлагаете его как услугу клиентам, где они не имеют контроля над системой? Тогда вам понадобится поставщик услуг SAQ D.

Взгляните на требование 6, чтобы получить представление о том, что необходимо для SDLC.

Инструменты-мудрый PCI scoping toolkit, я не уверен, что это то, о чем вы просите.