Conformità PCI allo sviluppo offshore

2

Gestisco un team di sviluppo offshore che produce una serie di prodotti finanziari. Al momento stiamo pianificando il lavoro necessario per ottenere la conformità PCI.

Il team offshore è gestito da un'operazione di esternalizzazione che assume direttamente lo staff. In altre parole, gli sviluppatori non sono direttamente impiegati da noi, ma sono esclusivamente risorse per progetti per la nostra azienda.

Tutta la nostra infrastruttura è basata nel Regno Unito (controllo del codice sorgente, macchine di sviluppo, ecc.). Sviluppatori / tester del desktop remoto offshore per gli ambienti di sviluppo che devono utilizzare.

C'è qualcosa in questa configurazione che dovremmo preoccuparci da un punto di vista PCI?

    
posta gnat 27.06.2011 - 18:31
fonte

2 risposte

3

Prima di tutto, buona fortuna.

Sarebbe bello sapere esattamente quali sezioni stai cercando di soddisfare in modo da poter fornire una risposta più specifica.

Il PCI si occupa principalmente della separazione dei compiti. (La seconda cosa a cui si riferisce è l'opinione del revisore dei conti, ma questa è una questione a parte). Ciò significa che gli sviluppatori non dovrebbero avere accesso al QA, che il QA non dovrebbe avere accesso alla produzione, e così via e così via. L'altra considerazione qui è il ciclo di vita del software che usi per promuovere il codice in produzione. Abbiamo basato la nostra su Microsoft SDLC e ti suggerisco di dargli un'occhiata.

Fondamentalmente segue qualcosa di simile.

  1. Il biglietto arriva, viene assegnato a ba / dev per "raccolta dei requisiti"
  2. La valutazione della sicurezza è stata eseguita. Questo è sotto forma di un questionario. Fondamentalmente, il codice tocca qualcosa da fare con l'elaborazione delle carte, ecc.
  3. In base ai risultati del questionario sulla sicurezza, vengono determinati i requisiti di sicurezza specifici. Questo vuol dire che hai bisogno di una revisione del codice? (esterno ovviamente). Etc

La separazione delle funzioni potrebbe essere simile a questa.

  1. Il codice è reso disponibile nel sistema di controllo del codice sorgente per il controllo di qualità / checkout.
  2. QA "test" codice. Ciò può includere test di sicurezza come da risultati del questionario.
  3. Se richiesto, terze parti eseguono la revisione del codice. Ci sono molte terze parti tra cui scegliere
  4. Il QA passa documentazione e binari compilati al team di supporto alla produzione
  5. Strumenti di supporto alla produzione.

Quello che troverai è che vuoi creare "zone" PCI. IE: zona ad alto rischio sarebbe qualsiasi codice che tocca / interagisce con qualsiasi sistema / processo che si occupa di carte di credito. Ovviamente qualsiasi cambiamento in quest'area richiederà una revisione del codice da parte di una terza parte (specialmente nel caso in cui non si controlli lo sviluppo, ecc.). Avresti quindi una zona secondaria. Il codice modificato in quest'area non richiede lo stesso rigore del codice modificato nella zona primaria.

Quanto sopra riguarda solo un paio di sottosezioni del requisito PCI. In realtà, devi ricordare che il PCI è più incentrato sugli standard e sulla documentazione di quegli standard. Scegliere le "migliori pratiche" e quindi mostrare che si attengono alle dette migliori pratiche. Le recensioni del codice sono una grande vittoria in questo settore.

Il revisore dei conti nel tuo caso potrebbe essere interessato a chi ha accesso al tuo codice sorgente e in che modo riescono ad accedervi. Ovviamente non puoi impedire a qualcuno di scattare una schermata o copiare codice a mano, ma potrebbero voler vedere alcuni controlli sul posto in modo che qualcuno non possa semplicemente copiare tutto il codice su una USB e lasciarlo con esso.

    
risposta data 27.06.2011 - 18:51
fonte
1

Non sono un esperto legale in questo, ma sono stato responsabile tecnico nel portare un importante rivenditore online in linea con la conformità PCI.

Quindi per il mio due pennyworth:

La conformità PCI riguarda la protezione dei dati.

In sostanza: non concedere agli sviluppatori l'accesso a dati personali. Questo si applica sia a casa che fuori casa. Se è necessario utilizzare live-data in ambienti dev, disinfettarlo innanzitutto rimuovendo tutti i numeri di carta di credito, cambiando i nomi dei clienti, i dettagli dell'indirizzo, i numeri di telefono ecc.

    
risposta data 27.06.2011 - 18:39
fonte

Leggi altre domande sui tag