Prima di tutto, mi dispiace se è stato discusso più volte. Ho letto molti post sulla conformità PCI ma ci sono alcune piccole cose di cui non sono abbastanza sicuro.
Supponiamo che ci sia Mr. GoodGuy, uno sviluppatore di software onesto. Sviluppa la principale architettura del software e la società si fida di lui e fornisce tutti gli accessi di cui ha ragionevolmente bisogno. Questo software memorizza i numeri delle carte di credito per la gestione ricorrente dei pagamenti e il software utilizza un gateway di carte di credito per addebitare l'importo del rinnovo.
Mr. GoodGuy potrebbe scrivere un codice che decodifichi la scheda per un utente, indipendentemente dal livello di sicurezza del software (chiave di crittografia in una posizione del server protetta, chiavi per utente o altro), il software può in qualche modo decrittografare i dati della carta. Ciò significa che, anche se lo sviluppatore è onesto, potrebbe accedere ai dati della carta.
- Quali sono le possibili soluzioni implementate da altre aziende che impediscono a qualcuno di utilizzare il software per accedere ai dettagli della carta?
Questo non riguarda i dettagli della carta. Può essere qualsiasi cosa come servizi di archiviazione di file online, dati medici o altro. Come può uno sviluppatore assicurarsi che non sarà in grado di accedere ai dati come desidera, ma consentire al software di accedervi (senza partecipazione dell'utente)
PS: Sono Mr. GoodGuy qui e non ho intenzione di fare nulla di male. Mi chiedo come facciano le altre aziende a occuparsene. Si fidano degli sviluppatori? Anche se si dimette, può prendere il file chiave con sé. Anche il lavaggio di tutte le schede memorizzate non è un'opzione in quanto può inviare molte vendite esistenti.