L'articolo 12.8.3 di PCI DSS richiede quanto segue:
12.8.3 Ensure there is an established process for engaging service providers including proper due diligence prior to engagement.
Che cosa si considera "adeguata due diligence" in questo caso?
L'articolo 12.8.3 di PCI DSS richiede quanto segue:
12.8.3 Ensure there is an established process for engaging service providers including proper due diligence prior to engagement.
Che cosa si considera "adeguata due diligence" in questo caso?
12.8.3 è scritto in modo molto ambiguo, ma ciò che si riduce è che è necessario controllare il potenziale fornitore di servizi. È necessario disporre di una documentazione procedurale che mostri i processi alla base del controllo di un fornitore di servizi. Quella parte è piuttosto semplice.
Per quanto riguarda ciò che dovresti fare per controllare il tuo potenziale fornitore di servizi, è una chiamata difficile. (e spetta a te capire la maggior parte di esso) L'analisi del rischio dovrà essere fatta. Guarda la reputazione dell'azienda e la loro storia passata. Fai domande difficili relative a ciò che stai potenzialmente lavorando con il provider.
Dovresti davvero chiedere a un avvocato questa domanda. Non sono un avvocato, ma la mia comprensione è che il concetto è che dovresti fare il tuo miglior e ragionevole sforzo per garantire che tutti i fornitori di servizi che lavoreranno con le informazioni coperte dal PCI saranno anche conformi e proteggeranno le informazioni con gli standard necessari.
Siamo appena passati attraverso questo processo. Nel nostro caso, la società che richiede di completare questi moduli è quella che fornisce il servizio. Abbiamo chiesto loro cosa significava. Dicevano semplicemente che dovevamo chiedere loro verbalmente se erano conformi o controllare sul loro sito web ... comunque, sono elencati qui ... link
Leggi altre domande sui tag pci-dss