Prima di tutto, buona fortuna.
Sarebbe bello sapere esattamente quali sezioni stai cercando di soddisfare in modo da poter fornire una risposta più specifica.
Il PCI si occupa principalmente della separazione dei compiti. (La seconda cosa a cui si riferisce è l'opinione del revisore dei conti, ma questa è una questione a parte). Ciò significa che gli sviluppatori non dovrebbero avere accesso al QA, che il QA non dovrebbe avere accesso alla produzione, e così via e così via. L'altra considerazione qui è il ciclo di vita del software che usi per promuovere il codice in produzione. Abbiamo basato la nostra su Microsoft SDLC e ti suggerisco di dargli un'occhiata.
Fondamentalmente segue qualcosa di simile.
- Il biglietto arriva, viene assegnato a ba / dev per "raccolta dei requisiti"
- La valutazione della sicurezza è stata eseguita. Questo è sotto forma di un questionario. Fondamentalmente, il codice tocca qualcosa da fare con l'elaborazione delle carte, ecc.
- In base ai risultati del questionario sulla sicurezza, vengono determinati i requisiti di sicurezza specifici. Questo vuol dire che hai bisogno di una revisione del codice? (esterno ovviamente). Etc
La separazione delle funzioni potrebbe essere simile a questa.
- Il codice è reso disponibile nel sistema di controllo del codice sorgente per il controllo di qualità / checkout.
- QA "test" codice. Ciò può includere test di sicurezza come da risultati del questionario.
- Se richiesto, terze parti eseguono la revisione del codice. Ci sono molte terze parti tra cui scegliere
- Il QA passa documentazione e binari compilati al team di supporto alla produzione
- Strumenti di supporto alla produzione.
Quello che troverai è che vuoi creare "zone" PCI. IE: zona ad alto rischio sarebbe qualsiasi codice che tocca / interagisce con qualsiasi sistema / processo che si occupa di carte di credito. Ovviamente qualsiasi cambiamento in quest'area richiederà una revisione del codice da parte di una terza parte (specialmente nel caso in cui non si controlli lo sviluppo, ecc.). Avresti quindi una zona secondaria. Il codice modificato in quest'area non richiede lo stesso rigore del codice modificato nella zona primaria.
Quanto sopra riguarda solo un paio di sottosezioni del requisito PCI. In realtà, devi ricordare che il PCI è più incentrato sugli standard e sulla documentazione di quegli standard. Scegliere le "migliori pratiche" e quindi mostrare che si attengono alle dette migliori pratiche. Le recensioni del codice sono una grande vittoria in questo settore.
Il revisore dei conti nel tuo caso potrebbe essere interessato a chi ha accesso al tuo codice sorgente e in che modo riescono ad accedervi. Ovviamente non puoi impedire a qualcuno di scattare una schermata o copiare codice a mano, ma potrebbero voler vedere alcuni controlli sul posto in modo che qualcuno non possa semplicemente copiare tutto il codice su una USB e lasciarlo con esso.