Come includere terze parti in PCI DSS SAQ

1

Quando si compila il SAQ per la conformità PCI, come si includono i requisiti coperti da un fornitore di terze parti? Supponiamo che tu stia utilizzando un provider VPS conforme allo standard PCI.

Hai selezionato "sì", quindi includi un riferimento all'AoC della terza parte? O è considerato una misura di compensazione? O semplicemente non applicabile e compila il foglio di lavoro?

Ci devono essere informazioni in uno dei documenti del consiglio PCI, ma non sono riuscito a trovarlo.

    
posta Richard 19.11.2015 - 00:26
fonte

1 risposta

1

Potresti selezionare In Place ma non c'è nessun luogo in cui giustificare che sia In Place e hai esternalizzato la responsabilità. Nel caso di un questionario SAQ, è più chiaro selezionare Non applicabile, quindi giustificare le selezioni Non applicabile con un'istruzione come:

'Non applicabile in quanto la responsabilità di soddisfare questo controllo è stata esternalizzata al fornitore di servizi X. Il loro AOC, datato gg mmm aaaa, è stato revisionato e mostra che questo requisito è In Place '.

    
risposta data 19.11.2015 - 14:33
fonte

Leggi altre domande sui tag