Один аспект, который не всплыл в других комментариях, заключается в том, что PCI-DSS оценивается на основе внедренной операционной системы и что наиболее важным компонентом в этой системе являются человеческие процессы и средства управления. Исходная посылка «мой сайт будет автоматически соответствовать» включает в себя предположение, что можно оценить часть технологии вне контекста по PCI-DSS.
Любое пользовательское приложение, по определению PCI-DSS и PA-DSS, никогда не может быть объявлено PCI-совместимым по своей сути. Приложения и аппаратные средства, которые нельзя настроить, готовые решения могут оцениваться по PA-DSS, но даже они не могут быть сертифицированы как PCI-совместимые вне контекста внедряемой системы и связанных с ней средств управления и процессов, связанных с ней.
Требования 2, 10, 11 и 12 полностью относятся к системным элементам управления, которые являются внешними по отношению к вашему приложению и представляют собой процедуры и задачи, выполняемые человеком. Из других требований, внимательное рассмотрение каждого из них показывает, что они прямо или косвенно накладывают ограничения на человеческие процессы и средства управления.
Поэтому обязательно прочитайте и усвойте другой совет, касающийся технических требований PCI, но отбросьте мысль о том, что ваше готовое приложение может быть объявлено как PCI-совместимое вне контекста работающей, внедренной системы. Лучшим подходом было бы рассмотреть те требования, которые не напрямую связаны с техническими деталями дизайна вашего приложения, и спросить себя, как приложение помогает клиенту удовлетворить эти требования. Например, позволяет ли ваше приложение легко отслеживать и контролировать весь доступ к сетевым ресурсам и данным о держателях карт? (Требование 10)
Многие поставщики приложений придерживаются позиции, что требование 12 «Поддерживать политику, направленную на защиту информации для всего персонала», к ним не относится вообще. Но клиенты часто возвращаются и задают острые вопросы о том, помогает ли приложение им или мешает им в этом элементе оценки. Заказчик несет ответственность за обучение своих сотрудников тому, как предотвращать, обнаруживать и устранять нарушения, а возможности приложения взаимодействовать со сканерами безопасности, выполнять резервное копирование конфигурации и данных или восстанавливать данные до определенного момента времени - все это имеет решающее значение. PCI требует, чтобы выпущенные поставщиком патчи, относящиеся к безопасности, были применены в течение 90 дней или менее, поэтому клиенты захотят узнать, как и где вы уведомите их об этих вещах, насколько легко или разрушительно применять патчи, должно ли приложение закрываться до применять их и т. д.
Надеемся, что достаточно детальная оценка исключит все приложения с очевидными техническими ошибками, такими как неиспользование TLS-шифрования, рендеринг страниц входа по HTTP или восстановление паролей вместо отправки ссылки сброса. Любое стремление соответствовать просто техническим аспектам рекомендаций PCI просто позволяет новому приложению подняться до уровня товара. Чтобы дифференцировать приложение на рынке, спроектируйте его так, чтобы помочь клиенту удовлетворить требования PCI, которые не прямая ответственность приложения.