Siamo una società di software relativamente piccola che ha l'obbligo di memorizzare PAN per i nostri clienti. Le soluzioni di pagamento in hosting non soddisfano i nostri requisiti di prodotto. Abbiamo letteralmente 3 righe di codice di crittografia in C # che attualmente utilizza Ent Lib.
Abbiamo preso alcune consulenze da un QSA molto esperto e abbiamo elaborato il modo in cui ristruttureremo radicalmente la nostra soluzione in modo che l'intero prodotto non rientri nell'ambito della conformità PCI che interromperebbe la nostra capacità di innovare .
Ora ho una lista della spesa e un budget molto ristretto. L'unico elemento che mi sta causando un strong mal di testa è la soluzione di gestione delle chiavi PCI. Gli HSM sono costosi e anche le soluzioni software equivalenti sono sorprendentemente costose. Otteniamo costantemente quotazioni nella regione da £ 30.000 a £ 50.000 per qualcosa che mi aspetterei di ottenere non più di £ 1000 per server oltre a licenze di sviluppo gratuite. Abbiamo solo bisogno di 2 server con un luke warm standby per accedere alle chiavi sicure. Sembra che le lettere PCI aggiungano degli zeri al prezzo di qualcosa che concettualmente non è così difficile!
C'è qualcuno che usa la soluzione economicamente vantaggiosa di cui la QSA è felice. Ho la sensazione che i QSA vogliano la Rolls Royce / Ferrari quando un Mini entry level farebbe per molte aziende. Sono felice di spendere soldi e suppongo di aver ripristinato i miei punti di vista un po 'ma qualcosa sotto £ 5000 sarebbe un budget realistico per noi.