Zadejte hledaný výraz...

PCI DSS certifikacia

node
verified
rating uzivatele
(5 hodnocení)
17. 3. 2019 12:49:31
Budem musiet riesit PCI DSS certifikaciu pre SaaS sluzbu. Ide o SoA a tak ma napadlo ze by som mohol mat jednu samostatnu sluzbu, eventuelne mozno aj formou funkcie(aws lambda, gc function..), ktorej jedinou ulohou by bolo routovat citlive data z platobynch kariet na mojho poskytovatela pre platby od ktoreho by sa ziskali bezpecne tokeny a az tieto tokeny by sa potom pusitli do mojho systemu. Takze z hladiska PCI DSS certifikacie by som musel riesit len tuto jedinu sluzbu a ziadnu inu sucast mojho systemu.
Vsetky cloudy a vsetky funkcie su PCI DSS certifikovane, resp "compliant", standardne takze na mne by bolo iba riesit penetracne testy vyplyvajuce z poziadavkov standardu, a prakticky uz nic, kedze vsetko ostatne riesi cloud(firewall, siet, ulozisko...). Tym ze je to funkcia tak tam nie je ziadna perzistencia dat(a ani nie je nutna), prakticky je to iba stream procesor, takze si myslim ze by to bolo dost easy.
Kto mate s PCI DSS skusenosti, napada vas kde by mohol vzniknut nejaky problem pri takomto rieseni?
17. 3. 2019 12:49:31
https://webtrh.cz/diskuse/pci-dss-certifikacia/#reply1393190
TomasX
verified
rating uzivatele
(4 hodnocení)
18. 3. 2019 17:29:36
odkud jsi vzal, že pro PCI DSS nemusíš validovat celý systém, ale jen ten tvůj "router"? Za mě se vždy validuje (a tak to také dělám) celý systém, kudy prochází data z karet a každá část musí být PCI DSS compliance, abys dostal razítko.
I v případě použití lambda služby, potřebuješ zajistit pro PCI DSS některé drobnosti jako např. zabezpečený přístup, logování aktivity, šifrování dat cestou, pravidelný reporting, unikátní identifikaci každého návštěvníka atd.
Tyhle standardy jsou dost formální, říkají jen co máš pohlídat a co musíš nějak vyřešit, už ti ale neříkají jak to máš vyřešit a jak to je bezpečné, od toho je jejich validace, často se doplňuje jiným bezpečnostním auditem. Bez toho, aby ti certifikovaná společnost odklikla, že jsi PCI DSS compliance, to nemůžeš sám o sobě tvrdit, existuje i levnější SAQ, kdy spoustu kroků děláš sám a jen spustíš jejich SW podle instrukcí.
Proč tohle potřebuješ? Někdo to po tobě vyžaduje? Ne všechny karetní společnosti vyžadují tuhle certifkaci, Visa třeba má svoji (je dost podobná, ale mnohem levnější, co pamatuji, ale nikdy jsem jí neimplementoval). Pro master card to je nutnost.
18. 3. 2019 17:29:36
https://webtrh.cz/diskuse/pci-dss-certifikacia/#reply1393189
Pro odpověď se přihlašte.
Přihlásit