Nous devons être conformes à la norme PCI pour certains traitements de cartes de crédit que nous effectuons. Comment les gens font-ils cela dans d'autres magasins?Comment configurer un environnement de développement compatible PCI
Comment sécurisez-vous votre SVN?
Comment sécurisez-vous votre serveur de build?
Comment le code est-il migré des développeurs vers la production?
ne pas nuire à l'autre réponse, mais l'autre chose vous faites limiter la portée de la conformité en isolant les systèmes qui voient ou touchent des données de carte du reste de votre infrastructure informatique. Votre serveur SVN ou votre serveur de construction ne devrait pas être obligé de se conformer aux exigences PCI s'il n'y a aucun moyen de voir les données du titulaire de carte (bien sûr, vous devez être en mesure de montrer qu'il s'agit réellement d'une politique le réseau est configuré)
Tout est le processus de conformité PCI.
Jetez un oeil à: http://www.keross.com/pci-dss-requirements-version-1.2.html
En règle générale, vous souhaitez engager une société de sécurité extérieure qui vous aidera à travers ce processus.
- modifier:
Ce lien ne dure pas pendant 3 ans, comme je l'ai demandé googlé « PCI DSS » pour obtenir: https://www.pcisecuritystandards.org/security_standards/index.php
+1 pour "engager une société de sécurité externe". La conformité PCI n'est pas simple, et vous aurez probablement besoin d'être audité de toute façon si vous voulez gérer le traitement des cartes de crédit. –
Je crains que votre lien n'a pourri depuis 2010; pourriez-vous le mettre à jour? – apsillers
@apsillers - Cela étant posté il y a si longtemps je ne sais pas ce qui était là. J'ai ajouté le premier résultat pour googler "conformité PCI DSS" cependant. –
Ce n'est pas aussi simple que ça. Si votre serveur de construction ou votre serveur SVN peut être compromis (tout comme kernel.org récemment), les attaquants peuvent mettre du code malveillant dans vos systèmes, par ex. désactiver le cryptage, utiliser un algorithme de gestion des clés imparfait, etc ... – Mike
Le point est bien fait, mais pour autant que je comprenne, cela signifie que je devrais avoir des processus pour vérifier le code qui vient de mon serveur de construction. Si je prenais cela pour signifier que mon serveur de construction est dans la portée de mon évaluation PCI, alors de la même façon kernel.org serait :-) – telent