PCI DSS 3.2 SAQ A e SAQ A-EP - 2 diversi negozi web

1

Ho fatto una pre-valutazione di 2 web shop di una società oggi.

Un negozio web utilizza i moduli basati su Direct Post per inserire e inoltrare i dati dei titolari di carta. Ciò significa che la società è idonea per un SAQ A-EP. È ospitato in Azure, in un piccolo ambiente, che è isolato dal resto.

L'altro utilizza una soluzione iFrame ospitata da una terza parte conforme PCI. Questo potrebbe essere fatto con un SAQ A. Tuttavia è ospitato nel proprio data center.

Ciò significa che l'azienda deve soddisfare i requisiti del SAQ A-EP a livello globale, per entrambi i negozi? Oppure posso definire i requisiti per negozio singolarmente? E applicare il SAQ A per l'un negozio e l'A-EP per l'altro? Almeno in base ai requisiti che dovrebbero essere possibili.

    
posta 0x90 10.03.2017 - 23:31
fonte

2 risposte

2

Come vedo, ci sono due web shop della stessa azienda in cui uno ha ospitato il proprio sito Web nel proprio data center mentre altri hanno ospitato su cloud (Azure). Dal momento che il primo webshop utilizza iFrame per caricare pagine di provider di servizi di pagamento di terze parti conformi allo standard PCI, indipendentemente dal luogo in cui ha ospitato il web, richiede solo SAQ A e le scansioni ASV trimestrali sono assolutamente facoltative. Ma nel caso di un secondo webshop ospitato in cloud che reindirizza i dati delle carte a terze parti con POST https, sono richieste non solo le scansioni SAQ-EP e trimestrali, ma anche le scansioni VA interne su base trimestrale e test di penetrazione esterna almeno una volta all'anno come richiesto l'attuale standard PCI DSS v3.2. Poiché la maggior parte dei principali fornitori di servizi cloud sono già conformi a un certo numero di standard di sicurezza internazionali, è possibile chiedere una copia del loro certificato PCI che sia abbastanza giusto per i requisiti SAQ-EP.

    
risposta data 10.11.2017 - 05:40
fonte
1

Quello è corretto. Nulla di più di SAQ A è necessario per l'app con la soluzione iframe in quanto isolata dai dati di cc.

    
risposta data 11.03.2017 - 04:16
fonte

Leggi altre domande sui tag