La mia organizzazione sta intraprendendo un progetto per tentare di ridurre la quantità della nostra infrastruttura coperta nell'ambito PCI. In particolare, stiamo cercando di escludere il nostro software di merchandising web dall'ambito PCI.
Naturalmente, per fare in modo che ciò accada, dovremo assicurarci che i server delle applicazioni non ottengano mai le informazioni sui titolari di carta e che i server delle applicazioni non si "connettano" mai a in il CDE.
Ne abbiamo parlato con la nostra QSA e lui ha detto che molte organizzazioni fanno proprio questo. Ma a dispetto di molte ricerche su Google, posso trovare poche altre prove di questo, per non parlare delle migliori pratiche quando si intraprende un simile progetto.
Questo è (anche lontanamente) un modo adeguato per affrontare il problema? Cosa dovrei sapere quando si entra in un progetto come questo? E chi altri ha scritto sull'argomento e per quale motivo dovrei trovare ulteriori informazioni?
Grazie in anticipo.