È possibile utilizzare qualsiasi DVCS remoto (GitHub, Bitbucket, ecc.) con PCI DSS o dovrei ospitare Git sul mio server?
Nota: non è un QSA, ma ho esperienza PCI.
Non c'è nulla in PCI riguardo all'archiviazione del codice sorgente - ci sono dei requisiti sulla gestione delle modifiche, a cui Github sarebbe utile, ma nulla su dove dovrebbe essere il codice sorgente o qualsiasi requisito per mantenere il codice sorgente privato (consente l'uso di open source , Dopotutto). Dato un repository privato e presupponendo che non si memorizzino le informazioni di autenticazione (chiavi, appids, password, chiavi API, certificati), dati PCI governati o PII nei repository GitHub (cosa che non dovresti fare comunque), probabilmente stai bene usando GitHub . Parla con il tuo QSA se vuoi essere sicuro.