Come può una società molto piccola gestire il requisito 6.4.2 PCI-DSS?

4

Requisito 6.4.2 PCI-DSS 3 per

Separation of duties between development/test and production environments.

In base al testo guida e , rispondi a un'altra domanda , sembra che lo scopo di questo requisito sia quello di garantire che nessuna persona ne detenga tutti gli accessi.

Sebbene ciò sia abbastanza facile in una grande azienda, significa automaticamente che un'azienda di 1 persona (o un'azienda abbastanza piccola da non potersi permettere di assumere DBA e amministratori separati per ogni ambiente) non può essere compatibile con PCI-DSS?

    
posta lzam 25.03.2015 - 21:16
fonte

1 risposta

3

In generale, un negozio così piccolo non gestirà direttamente l'elaborazione della carta di credito. Esternalizzeranno tale funzionalità a una terza parte che è conforme allo standard PCI. La responsabilità sarà garantire che la parte terza sia conforme.

Se questa non è un'opzione, allora sarà necessario mettere in atto altri controlli che soddisferanno il tuo QSA. Ciò che questi controlli dovranno essere dipenderà dal volume delle transazioni con carta di credito che elaborate. Potrebbe trattarsi di registrazioni più elevate e verifiche esterne più frequenti, rotazione dei ruoli, creazione di processi in cui più persone devono partecipare all'applicazione delle modifiche alla produzione, ecc.

    
risposta data 26.03.2015 - 22:41
fonte

Leggi altre domande sui tag