Secondo me, date le informazioni che hai fornito, SAQ A-EP si adatta al tuo scenario.
Non sei auto-ospitato e Digital Ocean è il tuo fornitore di terze parti . L'hosting è più del software che si ospita ma anche della sicurezza fisica dell'hardware. Digital Ocean probabilmente avrà accesso ai tuoi dati memorizzati sul server e potrebbe alterare i file sul box che causano la modifica delle pagine di pagamento senza accesso SSH. Indipendentemente dal fatto che si tratti di una classe di hosting condiviso, Digital Ocean deve ancora essere convalidata per gli elementi rilevanti di PCI DSS (vedi sotto).
Non so se verrebbero classificati come Shared Hosting e conterei sul consiglio di un QSA su questo. Se non è Shared Hosting, ottieni una chiara giustificazione del perché.
Riguardo alla segmentazione , la maggior parte delle aziende avrà parti del proprio sistema nell'ambito e al di fuori del campo di applicazione. Le parti in ambito devono essere segmentate e controllate dalle parti fuori ambito. Potresti desiderare di rendere l'intero sito Web di pertinenza, o potresti voler suddividerlo in parti separate. Anche le parti esterne possono entrare / uscire dal campo di applicazione. per esempio. Digital Ocean sarà nel campo di applicazione, ma Internet sarà fuori portata. Proteggi il tuo ambiente in ambito usando firewall e altri mezzi, quindi è consentito solo il traffico destinato al e dal tuo ambiente.
Il SAQ A-EP richiede diverse cose nella sezione "Prima di iniziare" che saranno tutte cose che dovresti controllare. Una coppia che voglio chiamare, che suona veramente rilevante per le domande che stai ponendo:
-
Il tuo provider di hosting deve essere convalidato su tutti i requisiti PCI DSS applicabili
If merchant website is hosted by a third-party provider, the provider is validated to all applicable PCI DSS requirements
Digital Ocean ha essenzialmente bisogno di essere conforme PCI, o almeno ad alcuni requisiti, affinché tu possa essere conforme PCI. L'ultimo I ha verificato che non sono . AWS ha mantenuto la conformità PCI per un po 'di tempo, e sono un buon valore predefinito per la virtualizzazione e PCI.
-
Non utilizzare JS, CSS, ecc. esterni sulle tue pagine usando StripeJS
All elements of payment pages that are delivered to the consumer’s browser originate from either
the merchant’s website or a PCI DSS compliant service provider(s);
-
È tua responsabilità assicurarti che i tuoi fornitori di servizi siano conformi PCI
Your company has confirmed that all third party(s) handling storage, processing, and/or transmission of cardholder data are PCI DSS compliant
Quanto sopra è la mia opinione e non un consiglio, non dovresti fare affidamento su di esso, e invece consultare un QSA PCI registrato per un consiglio. Le virgolette blocco provengono da PCI DSS SAQ A-EP v3 . Leggi sempre l'intero SAQ e PCI DSS.