Затраты на соответствие PCI?

Question

Затраты на соответствие PCI?

Мы разрабатываем новый программный продукт (на самом деле просто один скрипт php), который собирает информацию о владельце карты и сохраняет ее в базе данных MySQL. Очевидно, что мы предпринимаем все меры предосторожности в отношении безопасности (брандмауэр, антивирус, SELinux, ограниченный доступ к компьютерам), но мы пытаемся понять, какие шаги нам нужно предпринять, прежде чем начать работу.

Поскольку клиент является Продавцом 4-го уровня (никаких реальных транзакций, только хранение информации о владельце карты), какие сканы нам нужно найти и найти?

Очевидно, нам нужно будет отсканировать сервер /IP, но как насчет php-скрипта, собирающего данные?

4

php credit-card pci-compliance pci-dss

Источник

user313122 08 фев '11 в 20:53

1 ответ

Другие вопросы по тегам php credit-card pci-compliance pci-dss

user246342 09 фев '11 в 11:06 2011-02-09 11:06 · Answer 1 · 2011-02-09 11:06

Тот факт, что ваш клиент на самом деле не выполняет транзакции, не влияет на их обязательство по соблюдению, поскольку PCI/DSS применяется в той же степени к хранилищу данных карты, что и к обработке транзакций, фактически, если они классифицируются как "Поставщик услуг", то есть дополнения обязательств.

В зависимости от ваших отношений с вашим клиентом и от того, как вы классифицируете свое программное обеспечение (услуга / готовый продукт и т. Д.), У вас также могут быть дополнительные обязательства в рамках PA-DSS, которые ориентированы на разработчиков программного обеспечения для платежей (включая только хранилище), и могут получить довольно хардкор, если вы продаете что-то, разработанное для PCI-совместимости.

Если вы посмотрите копию спецификации V2, в которой перечислены все требования, 6.6 объясняет, что вам нужно делать, например, с общедоступными веб-приложениями ("независимый" анализ кода или брандмауэр приложений).