Соответствие PCI требуется для любого продавца, который принимает кредитные карты.
Гораздо лучше поговорить с компанией, которая специализируется на соблюдении требований PCI. В любом случае вам, скорее всего, придется нанять аудитора для проверки вашего уровня соответствия. Я думаю, что это неправильный форум для полного ответа.
Однако, обращаясь к некоторым вашим пунктам:
- Storing the shipping address isn't prohibited by PCI. Most shopping carts do so.
- However, as a customer I'd appreciate it if the businesses that store my address treat it as valuable, sensitive information, and protect it as if it were credit card data or Social Security numbers.
- Конфигурация DMZ/Firewall совершенно не по теме сайта, но в целом да.
- В вашей компании/бизнесе должен быть свой собственный формальный процесс тестирования/проверки/документации, и вам необходимо будет доказать, что он у вас есть (предоставив его вашему аудитору), а также доказать, что вы следуете ему (покажите запросы на изменение, привязанные к к изменениям конфигурации или к тому, что применимо в вашей ситуации)
Кроме того, имейте в виду, что соответствие требованиям PCI следует рассматривать как минимум передовой практики обеспечения безопасности. Соответствие стандарту PCI не означает, что вы в безопасности. Это означает, что вы соответствуете этому конкретному стандарту.
Многие компании, соответствующие стандарту PCI, были взломаны и потеряли важные/конфиденциальные данные, в том числе те, которые приводят к краже личных данных их клиентов/сотрудников.
Когда несколько лет назад мы начали проводить аудиты, это открыло нам глаза, и после того, как наши глаза открылись, мы интегрировали безопасный жизненный цикл разработки, потребовали тонны обучения и со временем поняли, что соответствие PCI — это только начало. Там так много всего, что PCI не охватывает.
В любом случае, я бы начал здесь, а затем определил, на каком уровне вы должны быть.
А насчет больших хлопот, вы правы...
Хорошая безопасность — это проблема. Это требует утомительного внимания к деталям. Вы не просто выходите и кодируете что-то, вы занимаетесь моделированием угроз, проверкой кода, тестированием на проникновение. весь ваш процесс должен быть задокументирован, с обеспечением безопасности на каждом этапе, от сбора требований до выпуска. Вы должны подумать о разделении ответственности, чтобы гарантировать, что ни один разработчик-мошенник не сможет заразить ваш веб-сайт, если он или она рассердится, или что системный администратор не сможет заблокировать все и уйти (как это случилось с городом в Калифорнии не так уж много лет назад). тому назад).
Количество деталей, которые вы должны получить, безумно, если вы хотите получить какую-либо защиту, и тогда вам все равно придется жить с тем фактом, что вы никогда не сможете достичь 100% неуязвимости.
И это только начало.
Это добавляет много накладных расходов, и это хлопотно.
Но эти огромные хлопоты того стоят. Если учесть стоимость взлома не только для вас, но и для ваших клиентов, деловых партнеров и т. д.
person
David
schedule
05.07.2012
