作为自我评估的一部分,作为电子商务应用程序的web开发人员,我有义务满足哪些要求。作为PCI DSS的一部分,我有很多SAQ(自我评估问卷)。
在整个开发生命周期中应该关注的范围是什么。
- 发展
- 测试
- 部署
- 你还有其他方面的想法吗
是否有任何开源工具来支持这一过程(评估和跟踪)等?
只有QSA才能给你一个正式的答案,但我可以给你一些想法。
网络应用程序是如何使用的?这将有助于确定您的范围:
- 它只供你自己使用吗?最好的情况是直接使用符合PCI标准的提供商(通常是支付网关)提供的iFrame或整页,这可能是SAQ a。如果您需要直接发布(即信用卡详细信息永远不会接触到您的服务器),那么您可以使用SAQ a-EP。如果信用卡号码碰到了你的服务器,那么它就是SAQ D。瞄准SAQ A,它会让你头疼不已
- 您是否为客户提供它,让他们在自己的系统中使用,在那里他们可以控制代码或服务器?看看PA-DSS
- 您是否将其作为一项服务提供给无法控制系统的客户?那么你需要SAQ d服务提供商
看看需求6,了解SDLC的需求。
就工具而言,有PCI范围界定工具包,但我不确定这是你所要求的。