Depende del comerciante asegurarse de que cumple con PCI. Por lo tanto, esto significa que cuando usted, como comerciante, ejecuta una tienda web que contiene o procesa los datos de los propietarios de automóviles, usted es responsable de protegerlos. O lo haces tú mismo o transfieres el riesgo a Heroku. Para transferir el riesgo (o parte de él) necesitaría una certificación de Heroku que muestre específicamente qué controles implementan en relación con el PCI-DSS. A continuación, puede utilizar esta certificación como garantía.
Si miras lo que dicen:
Usamos el procesador de pagos compatible con PCI Braintree para cifrar y
Procesamiento de pagos con tarjeta de crédito. El proveedor de infraestructura de Heroku es
Cumple con el nivel 1 de PCI.
No significa que todo su entorno sea utilizable para almacenar o procesar datos del titular de la tarjeta, simplemente significa que ellos mismos son compatibles con PCI cuando procesan a sus clientes y sus tarjetas. Ellos no declaran que Heroku puede usarse, como es, para aplicaciones que procesan o almacenan datos del titular de la tarjeta.
Para poder tener la seguridad de Heroku, toda la plataforma de Heroku debe ser auditada para garantizar que cumple con PCI. A menudo, estos proveedores ofrecen este tipo de declaraciones que pueden cubrir los controles PCI-DSS en forma de un ISAE3402 (si su QSA lo considera aceptable).
También afirman que se pueden usar para aplicaciones que deben cumplir con la Ley Sarbanes y Oxley (SOX). Estos requieren informes SOC, que parecen ofrecer. Los informes SOC también cubren una gran cantidad de controles de seguridad que su QSA puede utilizar para garantizar la seguridad en términos de PCI DSS.
Tenga en cuenta que le corresponde al QSA aceptar o rechazar los informes SOC, tiene el derecho de rechazar la confianza en estos informes y realizar la auditoría por sí mismo.