PCI DSS è applicabile ad altre soluzioni rispetto a quelle che si occupano di carte di pagamento?

6

Secondo questa citazione dalla sezione "applicabilità" di PCI DSS non è:

The primary account number is the defining factor in the applicability of PCI DSS requirements. PCI DSS requirements are applicable if a primary account number (PAN) is stored, processed, or transmitted. If PAN is not stored, processed or transmitted, PCI DSS requirements do not apply.

Ma significa che non è affatto applicabile? O solo che non sono obbligato a soddisfare questi requisiti? Se voglio che la mia soluzione (applicazione) sia sicura (= per essere riconosciuta come sicura dalle grandi imprese), dovrei comunque implementare i requisiti, o dovrei investire il mio tempo in qualche altra serie di raccomandazioni? In altre parole, la conformità PCI mi darà un certo credito quando vendo un'applicazione che non si occupa di carte di pagamento, o c'è qualche altro standard più generico?

    
posta bretik 20.06.2011 - 16:00
fonte

2 risposte

4

La conformità PCI è una buona base di riferimento, indipendentemente da ciò che stai cercando di proteggere. Se si sta parlando di un ambiente con dati sensibili (carta di credito, previdenza sociale o altro), se si trattano tali dati come se fossero dati di titolari di carta e si segua il PCI DSS si otterrà un buon livello base di sicurezza. Se si prende il tempo necessario per verificare che tale livello di sicurezza sia verificato da un QSA, si avrà sicuramente una prova credibile che il proprio ambiente è sicuro e che è possibile presentare a terzi.

Se stai parlando in modo specifico di un'applicazione che hai scritto e venderai, allora le recensioni di sicurezza del codice e i test di una terza parte certificata forniranno probabilmente più vantaggi.

    
risposta data 21.06.2011 - 09:39
fonte
5

Alcuni dei requisiti PCI DSS potrebbero applicarsi alla tua situazione (in effetti è molto probabile che alcuni di essi lo saranno). Tuttavia, la tua applicazione avrà requisiti specifici per il suo dominio problematico e che PCI non affronta: allo stesso modo, PCI renderà alcuni requisiti irrilevanti (o addirittura controproducenti) nel tuo dominio perché sono specifico per il settore del settore delle carte di pagamento. Ricorda che gli standard, le pratiche del settore e le liste di controllo sono un utile punto di partenza per qualsiasi tentativo, ma che a un certo momento dovrai risolvere il problema tuo .

Quindi, in risposta alla tua domanda sul credito: se stai vendendo un'applicazione di gestione del bestiame conforme a PCI, mi prenderei in considerazione che pensavi che le mucche e le carte di credito fossero la stessa cosa nella creazione del tuo modello di sicurezza.

    
risposta data 20.06.2011 - 16:32
fonte

Leggi altre domande sui tag