Ho un sito Web che deve essere conforme PCI. L'ho codificato usando le linee guida ma per essere sicuro volevo fare un audit di terze parti in cui questo individuo che gestisce un'azienda di sicurezza IT e fa progetti individuali guarderà il codice sorgente e farà anche test di penetrazione, ecc.
Ora, mentre mi farà sentire a mio agio che qualcuno che è esperto conoscerà il sito e apporta le modifiche necessarie, se necessario, ma sono a disagio nel fatto che quella persona saprà come codifichiamo le cose e come elaboriamo le cose
Ora ho due opzioni, o gli permetto di testare il sito sul nostro sito Web di cui abbiamo bisogno o sposto il sito in un altro dominio e lo chiamo qualcos'altro. Ma voglio anche che firmi un accordo NDA che dovrà poi avere il nome della mia compagnia. Quindi sono un po 'perso?
In che modo consentire gli audit di terze parti senza essere vulnerabili a loro?