Conformità A-EP PCI-SAQ per lo sviluppatore del sito web?

1

Facevo parte di un team che ha sviluppato un sito di e-commerce (creato con Wordpress e WooCommerce) per un cliente. Usano StripeJS e PayPal Standard per elaborare i pagamenti e il sito è ospitato su un server dedicato con TLS da un'autorità di certificazione attendibile. Il responsabile della sicurezza digitale del cliente ha stabilito che avevano bisogno di SAQ PCI-DSS A-EP (che corrisponde a ciò che indicano le strisce stesse ). Fin qui, tutto bene.

Tuttavia, ora la banca del cliente ha richiesto copie del suo SAQ PCI e ci ha chiesto (come sviluppatori del sito web) di compilare una copia dello stesso SAQ in aggiunta alla copia del cliente / commerciante . La banca ha anche chiesto separatamente alla società di hosting di fare lo stesso.

Per quanto ne so, SAQ A-EP è applicabile solo al commerciante. Possiamo certamente aiutarli a riempirlo, ma non penso che dovremmo fare uno separato. Qualcuno nell'ufficio ha suggerito che dovremmo compilare il questionario SAQ-D e inviarlo, ma per quanto posso determinare, SAQ D dovrebbe essere per i commercianti che non soddisfano altre categorie SAQ. Ho suggerito di riattaccare, poiché sembra tutto un po 'poco chiaro.

Dovremmo, come sviluppatori web (che non sono affatto coinvolti nell'elaborazione di hosting o pagamento), completare un documento SAQ separato quando i commercianti stessi sono conformi a SAQ A-EP?

Nota: al momento non abbiamo una clausola di responsabilità contrattuale con loro, dal momento che il sito si è rapidamente evoluto da un opuscolo statico a un negozio online completo in un brevissimo periodo di tempo. Lo risolveremo a breve. )

    
posta indextwo 23.11.2016 - 14:45
fonte

1 risposta

4

tl; dr probabilmente dovresti contattare un QSA e farli aiutare a navigare in questo. Sembra che il commerciante sia abbastanza grande da avere l'attenzione della banca che ha acquisito, il che significa che devi essere nel tuo gioco.

Non sono un QSA, né sono il tuo QSA, ma mi occupo un po 'di PCI. A seconda di come hai implementato Stripe, il commerciante può effettivamente qualificarsi per il SAQ A, che è molto preferito per l'A-EP dal tuo punto di vista.

Tuttavia, se vai avanti con l'A-EP, ecco perché stanno chiedendo cose da te e dal provider di hosting:

Requirement 6: Develop and maintain secure systems and applications

Il commerciante non ha sviluppato alcun software, si è basato su di te. Quindi la banca si aspetta che tu riprenda il tuo requisito 6 e anche altri (mi viene in mente 12).

Requirement 1: Install and maintain a firewall configuration to protect cardholder data

Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters

Requirement 5: Protect all systems against malware and regularly update anti-virus software or programs

Requirement 8: Identify and authenticate access to system components

Requirement 10: Track and monitor all access to network resources and cardholder data

Requirement 12: Maintain a policy that addresses information security for all personnel

Questi sono tutti probabilmente applicabili in qualche modo al fornitore di servizi di hosting, così come alcuni sono sicuro che mi sono perso. Questo non menziona i requisiti aggiuntivi per i provider di hosting condiviso. Ora, molte società di hosting affidabili sono già sottoposte a valutazione PCI e possono fornire un COA su richiesta (ad esempio AWS, ad esempio).

Ora, dal momento che né tu né il fornitore di servizi di hosting sono effettivamente commercianti agli occhi delle banche, compilerai il questionario SAQ D per i fornitori di servizi. La maggior parte dei requisiti è possibile contrassegnare come N / D a meno che non si applichino (come requisito 6). Quindi un funzionario autorizzato della vostra azienda firmerebbe l'attestato di conformità. Ciò consente al commerciante di contrassegnare tali requisiti come N / D sul loro SAQ A-EP perché fanno affidamento su un fornitore di servizi (voi).

Divulgazione: lavoro a Braintree, che compete con Stripe e fa parte di PayPal, ma questo stesso consiglio si applicherebbe anche lì, a meno che tu non faccia il SAQ A come ho detto prima.

    
risposta data 23.11.2016 - 15:44
fonte

Leggi altre domande sui tag