Stiamo spostando un'app Web da un'impostazione ospitata da un commerciante interno a un servizio generale che possiamo offrire ad altre organizzazioni. L'effettiva gestione dei dati della carta di credito viene effettuata da una terza parte conforme allo standard PCI tramite un iFrame, quindi non vediamo mai nessuno dei dati. Anche così il SAQ sta saltando da A a D in base alle discussioni che abbiamo avuto con un QSA.
Mi piacerebbe avere una comprensione dei test di scansione e di penetrazione da quelli che sono stati in precedenza. Questo sembra essere il più grande costo esterno per noi e potrebbe influire sulla nostra architettura.
La scansione delle vulnerabilità sembra essere un servizio automatizzato che cerca i maggiori problemi. I costi sembrano iniziare da poche centinaia di dollari all'anno.
La scansione di penetrazione sembra essere un processo manuale in cui qualcuno cerca attivamente buchi nella sicurezza. I costi sembrano iniziare da 3k-4k all'anno. La scansione è suddivisa in scansione interna ed esterna, non sono chiaro su quale sia il confine tra interno ed esterno. Ad esempio, l'esterno include un utente registrato? Sembra anche possibile eseguire la scansione interna autonomamente se si è effettuato l'allenamento corretto.
Avevamo programmato di avere un setup (webserver, ecc.) per client in modo che tutti i loro dati, ecc. fossero completamente silenziati e consentissero la personalizzazione, ogni client avrebbe il proprio sottodominio. Mi chiedo ora se ciò richiederebbe un test di penetrazione per impostazione?
Dagli esempi del SAQ attorno ai test di penetrazione sembra che debba essere fatto uno nuovo per (cosa che prenderei in considerazione) cambiamenti piuttosto piccoli, ad es. aggiornamento del sistema operativo. In che modo questo si riferisce al livello di applicazione? Saremo in grado di fare nuove uscite senza dover fare un nuovo test di penetrazione?
Qualche consiglio su come una startup dovrebbe avvicinarsi a questo è apprezzato. Ovviamente capisco solo che un QSA può dare l'ultima parola.
Aggiornamento: grazie per le risposte, avrei dovuto leggere il documento di orientamento per i test di penetrazione PCI prima di pubblicare questo domanda. Da quel documento l'ambito del sistema sembra particolarmente importante per avere ragione.