Nella pianificazione della fase successiva della nostra piattaforma, sto cercando di garantire che il processo di implementazione della produzione sia conforme allo standard PCI.
Abbiamo una piattaforma centrale che funge da CMS, che serve contenuti personalizzati basati su un tipo di evento, che risiederà in un server / ambiente IIS consolidato.
Ogni nuovo evento ha una schermata iniziale di base e un nome di dominio personalizzato, ad esempio www.myevent1.com, www.myevent2.com, ecc.
Il problema è che avremo bisogno di aggiungere nuovi nomi di dominio frequentemente. Essendo conformi allo standard PCI, non possiamo avere sviluppatori che accedono ai server di produzione.
Gli stati della PCI-DSS 6.4:
A separation of duties between personnel that are assigned to the development/test environments and those persons assigned to the production environment.
Sto cercando di mantenere la separazione delle attività per specifiche di conformità.
Quindi, i miei pensieri erano di mantenere il server CMS così com'è, completamente potenziato, nessun accesso per gli sviluppatori. Quindi disporre di un server IIS secondario in cui gli sviluppatori possono aggiungere nuovi domini in base alle esigenze e caricare le pagine splash statiche collegate al contenuto CMS.
Pensieri?
- UPDATE -
Utilizzeremo la conformità al livello 4 PCI-DSS, quindi non avremo dati sui titolari di carta sui nostri server. Il processore di pagamento avrà queste informazioni.