适用于只有一名员工的小型企业的 PCI DSS SAQ D
PCI DDS SAC D for small business with one emploee
我正在尝试弄清楚如何正确填写初创企业的 PCI SAC D 合规表,其中只有一个 owner/architect/developer/admin/QA/etc - 所有这些都是我一个人。
这是一个用于销售特定无形服务的网络应用程序。不会存储卡信息。 SAC D 的原因 - 我更愿意在我的服务器端做一些验证逻辑,并有一个与 UI.
的其余部分相匹配的总审查和确认页面
托管环境将是 AWS Beanstalk + RDS。
当我阅读它时,常识告诉我要忽略像 "Interview personnel" 或 "Review policies & procedures" 这样的陈述,但我希望大型企业的思想通常不是由常识驱动,而是由规则驱动。
- 我几乎无法想象采访自己并记录我所问和所说的正式过程,尤其是这样做的好处。
- 要求 8 中的大多数问题也没有意义。
- 假设事情不止是一名员工的问题毫无意义。
这些可以跳过吗(N/A-ed)还是我应该正式做这个练习并产生一些有趣的废话?
谢谢!
您真的确定需要 SAQ D 吗?如果您要从头开始,那将是一项艰巨的任务。钱流入你的商家账户了吗?如果是这样,您可能会逃脱 SAQ A,这会让您的生活变得更轻松。如果不是,那么您可能是 SAQ D 服务提供商,您别无选择,只能执行 SAQ D。在样式和验证方面,您可以使用像 Braintree 这样的 iFrame 解决方案,您有很多控制并显着缩小您的 PCI 范围。
根据我的经验,与持有商家帐户的银行交谈是一个很好的起点,他们热衷于开发安全系统,因此很可能会就您需要做什么提供建议。您也可以聘请 QSA,但一般来说他们并不便宜。
我不认为(尽管我不是 100% 确定)需要对自己进行面谈,这些说明供审计员使用以确保遵守政策和程序。对于独立开发者来说,一个大问题是代码审查,你需要其他人来做。
你可以N/A那些问题。
请记住,SAQ 是一份 SELF 评估问卷,而不是您正在参加的测试。支付卡行业更关心您是否遵守 PCI-DSS 的 "spirit",而不是硬性规定。它更多地是关于保护持卡人数据,而不是遵守不适用于您的情况的事情。 (尽管 适用的任何内容都应作为硬性规定予以遵守。)
如果你真的接受了审计,那可能只是因为你有违规行为,这显然不是因为你没有 "interview yourself" 坐在前面时没有戴上安全 ID 徽章您的开发计算机 :-D 并且我认为将这一点传递给 QSA 不会有任何问题。
现在,定期记录和审查所有安全政策和程序、网络图、防火墙等确实适用,因为要持续遵循安全准则, 必须不断对其进行审查。对于这些,只需使用常识。换句话说,检查你的防火墙规则,至少按照 PCI-DSS 要求的频率检查你自己,"Do I still need this ALLOW SNMP port 161 rule to be in effect?" 等等......哦,天哪,我想我刚刚告诉你面试你自己... :-D
无论如何,你明白了。
我正在尝试弄清楚如何正确填写初创企业的 PCI SAC D 合规表,其中只有一个 owner/architect/developer/admin/QA/etc - 所有这些都是我一个人。
这是一个用于销售特定无形服务的网络应用程序。不会存储卡信息。 SAC D 的原因 - 我更愿意在我的服务器端做一些验证逻辑,并有一个与 UI.
的其余部分相匹配的总审查和确认页面托管环境将是 AWS Beanstalk + RDS。
当我阅读它时,常识告诉我要忽略像 "Interview personnel" 或 "Review policies & procedures" 这样的陈述,但我希望大型企业的思想通常不是由常识驱动,而是由规则驱动。
- 我几乎无法想象采访自己并记录我所问和所说的正式过程,尤其是这样做的好处。
- 要求 8 中的大多数问题也没有意义。
- 假设事情不止是一名员工的问题毫无意义。
这些可以跳过吗(N/A-ed)还是我应该正式做这个练习并产生一些有趣的废话?
谢谢!
您真的确定需要 SAQ D 吗?如果您要从头开始,那将是一项艰巨的任务。钱流入你的商家账户了吗?如果是这样,您可能会逃脱 SAQ A,这会让您的生活变得更轻松。如果不是,那么您可能是 SAQ D 服务提供商,您别无选择,只能执行 SAQ D。在样式和验证方面,您可以使用像 Braintree 这样的 iFrame 解决方案,您有很多控制并显着缩小您的 PCI 范围。
根据我的经验,与持有商家帐户的银行交谈是一个很好的起点,他们热衷于开发安全系统,因此很可能会就您需要做什么提供建议。您也可以聘请 QSA,但一般来说他们并不便宜。
我不认为(尽管我不是 100% 确定)需要对自己进行面谈,这些说明供审计员使用以确保遵守政策和程序。对于独立开发者来说,一个大问题是代码审查,你需要其他人来做。
你可以N/A那些问题。
请记住,SAQ 是一份 SELF 评估问卷,而不是您正在参加的测试。支付卡行业更关心您是否遵守 PCI-DSS 的 "spirit",而不是硬性规定。它更多地是关于保护持卡人数据,而不是遵守不适用于您的情况的事情。 (尽管 适用的任何内容都应作为硬性规定予以遵守。)
如果你真的接受了审计,那可能只是因为你有违规行为,这显然不是因为你没有 "interview yourself" 坐在前面时没有戴上安全 ID 徽章您的开发计算机 :-D 并且我认为将这一点传递给 QSA 不会有任何问题。
现在,定期记录和审查所有安全政策和程序、网络图、防火墙等确实适用,因为要持续遵循安全准则, 必须不断对其进行审查。对于这些,只需使用常识。换句话说,检查你的防火墙规则,至少按照 PCI-DSS 要求的频率检查你自己,"Do I still need this ALLOW SNMP port 161 rule to be in effect?" 等等......哦,天哪,我想我刚刚告诉你面试你自己... :-D
无论如何,你明白了。