Naturalmente, è sempre più saggio accettare i giudizi della QSA quando si effettuano le chiamate di giudizio, tuttavia durante il proprio lavoro di conformità interno raccomando di consultare i Navigazione nel documento PCI-DSS: Capire il Intento dei Requisiti ogni volta che viene confuso da un requisito.
Se guardiamo a pagina 32 di quel documento, vediamo quanto segue in merito al requisito 6.4.2
Reducing the number of personnel with access to the production
environment and cardholder data minimizes risk and helps ensure that
access is limited to those individuals with a business need to know.
The intent of this requirement is to ensure that development/test
functions are separated from production functions. For example, a
developer may use an administrator-level account with elevated
privileges for use in the development environment, and have a separate
account with user-level access to the production environment.
In environments where one individual performs multiple roles (for example
application development and implementing updates to production
systems), duties should be assigned such that no one individual has
end-to-end control of a process without an independent checkpoint. For
example, assign responsibility for development, authorization and
monitoring to separate individuals.
Quindi, dalla lettura più severa, allora sì. Gli sviluppatori hanno accesso al sistema di sviluppo e possono avere accesso al ruolo degli utenti alla produzione, ma una persona separata eseguirà effettivamente le installazioni delle applicazioni / amministrazione e amministrazione del sistema dell'ambiente di produzione. Il vero scopo di tutto ciò, come discusso nell'ultimo paragrafo, è che non esiste un singolo individuo che abbia un controllo amministrativo end-to-end del servizio. Ciò che vogliono sono le persone multiple con visibilità nel processo in modo che nessuna singola persona possa apportare modifiche nello sviluppo e portarle alla produzione indiscussa.
Quindi, quando possibile, il consiglio ufficiale sarebbe meglio riassumerlo con una foto.
In pratica, tuttavia, è necessario capire quale sia il modo migliore per gestire tale auditing e / o segregazione mentre si documentano i tuoi processi e alla fine ottenerli correttamente gestiti dal tuo QSA.