La mia azienda sviluppa e ospita un sistema di eCommerce e CMS personalizzato. Forniamo questo solo sotto un modello di software-as-a-service ospitato. Abbiamo il pieno controllo dell'ambiente di hosting e i nostri clienti non hanno alcun controllo sul codice sorgente. Non possono distribuire sul proprio hardware; devono affittare il software da noi.
Mi viene chiesto da un fornitore se siamo conformi PA-DSS. In base alla Procedure di valutazione dei requisiti e sicurezza PA-DSS v2.0 :
PA-DSS does NOT apply to payment applications offered by application or service providers only as a service (unless such applications are also sold, licensed, or distributed to third parties) because:
The application is a service offered to customers (typically merchants) and the customers do not have the ability to manage, install, or control the application or its environment;
The application is covered by the application or service provider’s own PCI DSS review (this coverage should be confirmed by the customer); and/or
The application is not sold, distributed, or licensed to third parties.
Sto cercando di capire se rientreremmo in questi criteri. Mi sembra che lo faremmo, perché abbiamo il pieno controllo del software; noi siamo il fornitore di servizi applicativi e il software viene fornito solo come servizio. I nostri clienti non hanno la possibilità di installare o gestire l'ambiente delle applicazioni, solo il nostro personale lo fa. I nostri clienti possono naturalmente utilizzare l'applicazione per creare prodotti e visualizzare i loro ordini, tuttavia tutte le operazioni di installazione e manutenzione del server vengono eseguite da noi.
Siamo pienamente conformi PCI.
PA-DSS si applica a un'applicazione eCommerce host personalizzata come questa, quando il codice e l'ambiente sono totalmente gestiti dal fornitore?