作为 Web 开发人员,我应该填写哪些 SAQ 作为 PCI DSS 自我评估的一部分?
Which SAQs should I be filling as part of PCI DSS self assessment as web developer?
作为电子商务应用程序的网络开发人员,我必须满足哪些要求作为自我评估部分。作为 PCI DSS 的一部分,我有很多 SAQ,s(自我评估问卷)。
在整个开发生命周期中应该关注的范围是什么。
- 发展
- 测试
- 部署
- 您可能会想到的任何其他方面?
是否有任何开源工具支持此过程(评估和跟踪)等?
只有QSA才能给你一个正式的答案,但我可以给你一些想法。
Web 应用程序的使用情况如何?这将有助于确定您的范围:
- 是否仅供您自己使用?最好的方案是使用直接来自 PCI 兼容提供商(通常是支付网关)的 iFrame 或完整页面,这可能是 SAQ A。如果您需要直接 post(即信用卡详细信息永远不会触及您的服务器),那么您可以使用 SAQ A-EP。如果信用卡号触及您的服务器,那么它就是 SAQ D。以 SAQ A 为目标,它会让您头疼不已。
- 您是否提供它供客户在他们自己的系统中使用并控制代码或服务器?看看 PA-DSS。
- 您是否将其作为服务提供给无法控制系统的客户?那么您需要 SAQ D 服务提供商。
查看要求 6 以了解 SDLC 的需求。
工具方面有 PCI scoping toolkit,但我不确定这是否是您所要求的。
作为电子商务应用程序的网络开发人员,我必须满足哪些要求作为自我评估部分。作为 PCI DSS 的一部分,我有很多 SAQ,s(自我评估问卷)。
在整个开发生命周期中应该关注的范围是什么。
- 发展
- 测试
- 部署
- 您可能会想到的任何其他方面?
是否有任何开源工具支持此过程(评估和跟踪)等?
只有QSA才能给你一个正式的答案,但我可以给你一些想法。
Web 应用程序的使用情况如何?这将有助于确定您的范围:
- 是否仅供您自己使用?最好的方案是使用直接来自 PCI 兼容提供商(通常是支付网关)的 iFrame 或完整页面,这可能是 SAQ A。如果您需要直接 post(即信用卡详细信息永远不会触及您的服务器),那么您可以使用 SAQ A-EP。如果信用卡号触及您的服务器,那么它就是 SAQ D。以 SAQ A 为目标,它会让您头疼不已。
- 您是否提供它供客户在他们自己的系统中使用并控制代码或服务器?看看 PA-DSS。
- 您是否将其作为服务提供给无法控制系统的客户?那么您需要 SAQ D 服务提供商。
查看要求 6 以了解 SDLC 的需求。
工具方面有 PCI scoping toolkit,但我不确定这是否是您所要求的。