Host condiviso che non è un fornitore di servizi, senza SAQ / AoC. La conformità è possibile?

1

L'host web condiviso dice che non è un fornitore di servizi e non ha alcuna attestazione di conformità o SAQ. Ma dicono che sono conformi PCI.

Secondo SAQ, sembrerebbe che non potrei essere conforme al loro hosting:

  • If merchant website is hosted by a third-party provider, the provider is validated to all applicable PCI DSS requirements (e.g., including PCI DSS Appendix A if the provider is a shared hosting provider);
  • All elements of payment pages that are delivered to the consumer’s browser originate from either the merchant’s website or a PCI DSS compliant service provider(s);

Questo è molto sorprendente dato che sono un host abbastanza grande che afferma specificatamente che sono compatibili con pci.

Posso essere conforme al loro hosting?

    
posta chris.fy 30.01.2018 - 15:49
fonte

1 risposta

3

Nella tua domanda precedente , hai indicato che è necessario completare un SAQ-A-EP. Poiché tutta la tua infrastruttura viene fornita dal provider di hosting, ti stai affidando alla loro conformità PCI. Ti stai trovando in una situazione difficile dal momento che non stanno fornendo un attestato di conformità. Possono dire di essere conformi ma a meno che non forniscano un AoC, allora hai solo la loro parola. Se non è possibile dimostrare lo stato di conformità dei fornitori di servizi, si corre il rischio di non soddisfare il requisito 12.8.

Ecco alcune opzioni:

  • Controlla il Registro dei fornitori di servizi Visa per vedere se sono elencati.
  • Contatta direttamente il provider di hosting tramite una relazione o un responsabile clienti. Chiedi loro come si può essere conformi senza il loro AoC.
  • Parla con la tua banca acquirente. Dal momento che sei responsabile nei loro confronti per quanto riguarda la tua conformità, chiedi loro una guida. Possono darti suggerimenti su come affrontare la situazione in modo soddisfacente.
  • Cerca un altro provider di hosting. Sì, questo non è ottimale, ma se il provider di hosting continua a dimostrare la propria conformità e la conformità è di vitale importanza, il provider di hosting aumenta il rischio. Molti provider di hosting pubblicano attivamente i propri AoC. Ad esempio, Microsoft pubblica AoC per Azure .
risposta data 30.01.2018 - 20:59
fonte

Leggi altre domande sui tag