Spetta al commerciante assicurarsi che sia conforme allo standard PCI. Questo significa che quando un commerciante gestisce un negozio online che detiene o elabora i dati dei proprietari di automobili, sei responsabile della sua protezione. O lo fai da solo o trasferisci il rischio a Heroku. Per trasferire il rischio (o parte di esso) è necessario un attestato di Heroku che specifichi specificamente quali controlli implementano in relazione a PCI-DSS. È quindi possibile utilizzare questo attestato come garanzia.
Se guardi cosa dicono:
We use PCI compliant payment processor Braintree for encrypting and
processing credit card payments. Heroku’s infrastructure provider is
PCI Level 1 compliant.
Ciò non significa che il loro intero ambiente sia utilizzabile per archiviare o elaborare i dati dei titolari di carte, ma significa che essi stessi sono PCI conformi quando elaborano i loro clienti e le loro carte. non dichiara che Heroku possa essere utilizzato, così com'è, per le applicazioni che elaborano o memorizzano i dati del titolare della carta.
Per poter avere la certezza di Heroku, l'intera piattaforma Heroku dovrebbe essere verificata per garantire che siano conformi PCI. Spesso questi provider offrono questi tipi di istruzioni che possono coprire i controlli PCI-DSS sotto forma di un ISAE3402 (se ritenuto accettabile dal QSA).
Inoltre affermano che possono essere utilizzati per applicazioni che devono essere conformi al Sarbanes and Oxley Act (SOX). Questi richiedono rapporti SOC, che sembrano offrire. Le relazioni SOC coprono anche una miriade di controlli di sicurezza che possono essere utilizzati per garantire in termini di PCI DSS dal QSA.
Si noti che spetta al QSA accettare o rifiutare i report SOC, è nel suo diritto rifiutare di affidarsi a questi report ed eseguire personalmente la verifica.