¿Cómo puede una empresa muy pequeña manejar el requisito 6.4.2 de PCI-DSS?

Navega tus respuestas
3

El requisito 6.4.2 de PCI-DSS 3 requiere

  

Separación de tareas entre los entornos de desarrollo / prueba y producción.

Basado en el texto de guía y esto, responda a otra question , parece que el propósito de este requisito es garantizar que ninguna persona tenga todo el acceso.

Si bien esto es bastante fácil en una compañía grande, ¿significa esto automáticamente que una compañía de 1 persona (o una compañía lo suficientemente pequeña como para no poder contratar DBA y syadmins separados para cada entorno) no puede ser compatible con PCI-DSS?

    
pregunta lzam 25.03.2015 - 21:16
fuente

1 respuesta

2

En general, una tienda que es tan pequeña no manejará el procesamiento de tarjetas de crédito directamente. Ellos subcontratarán esa funcionalidad a un tercero que es compatible con PCI. La responsabilidad será asegurar que la tercera parte cumpla.

Si esta no es una opción, entonces será necesario establecer otros controles que satisfagan su QSA. Lo que estos controles deberán ser dependerá del volumen de transacciones con tarjeta de crédito que procese. Esto podría ser cosas como un registro más alto y una auditoría externa más frecuente, la rotación de roles, el establecimiento de procesos donde varias personas necesitan participar en la aplicación de cambios en la producción, etc.

    
respondido por el Tim X 26.03.2015 - 22:41
fuente

Lea otras preguntas en las etiquetas

Aspectos de diseño inusuales de la autenticación basada en AWS HMAC, v4 Inicie sesión en un sitio usando las credenciales de otro sitio