Mi empresa proporciona aplicaciones web a terceros. Desarrollamos, alojamos y gestionamos las aplicaciones nosotros mismos. Todo el acceso que obtienen los terceros es la aplicación en sí misma y una aplicación de administración / configuración separada que también es una aplicación web, por lo que ningún sistema (shell / ftp / etc) tiene acceso alguno.
¿Somos un proveedor de alojamiento / servicio compartido?
¿Somos un proveedor de alojamiento / servicio compartido?
El SSC de PCI define lo que significan por "proveedor de alojamiento compartido" según el requisito 2.6 de PCI DSS. La sección de orientación establece:
Este [requisito] está destinado a proveedores de alojamiento que proporcionan entornos de alojamiento compartido para varios clientes en el mismo servidor. Cuando todos los datos se encuentran en el mismo servidor y bajo el control de un solo entorno, a menudo la configuración de estos servidores compartidos no es manejable por los clientes individuales. Esto permite a los clientes agregar funciones y secuencias de comandos inseguras que afectan la seguridad de todos los demás ambientes del cliente; y, por lo tanto, facilita que un individuo malintencionado comprometa los datos de un cliente y, por lo tanto, obtenga acceso a los datos de todos los demás clientes. Consulte el Apéndice A1 para obtener más información sobre los requisitos.
Según su descripción, probablemente sea un proveedor de alojamiento compartido, pero no está claro si varios clientes no relacionados acceden y almacenan datos en un conjunto común de servidores, por ejemplo. 12 clientes que acceden o ejecutan instancias separadas de su aplicación web en un solo servidor web.
Esto es exactamente cómo funciona mi empresa y se nos evalúa para el cumplimiento de PCI como proveedor de alojamiento compartido. Tenemos múltiples servidores físicos que ejecutan múltiples servidores virtuales en cada servidor físico. Si bien algunos clientes pagan por el acceso por ftp, eso es una caja de arena y será reemplazado por un nuevo mecanismo dentro del año. Los archivos cargados están altamente restringidos por tipo, analizados por antivirus y más. Las bases de datos están separadas pero en instancias de servidor SQL compartidas. En un componente, una base de datos que se considera nuestra y no la de los clientes tiene datos de clientes combinados con otros datos de clientes, pero esencialmente cada registro tiene una clave única, por lo que solo ese componente sabe cómo descodificar los datos de ese cliente para ese cliente.
Si esto no estuviera permitido, incluso PayPal no podría funcionar porque necesitarían un servidor físico separado para cada cliente comerciante.
El Apéndice A1 al que se hace referencia contiene 4 requisitos secundarios específicos, resumidos: A1: proteja el entorno y los datos alojados de cada entidad, según A1.1 - A1.4 A1.1: asegúrese de que cada entidad solo ejecute procesos que tengan acceso al entorno de datos del titular de la tarjeta de esa entidad. A1.2 Restrinja el acceso y los privilegios de cada entidad solo a su propio entorno de datos de titulares de tarjetas. A1.3 Asegúrese de que el registro y las pistas de auditoría estén habilitados y sean únicos para el entorno de datos del titular de la tarjeta de cada entidad y que sean coherentes con el Requisito 10 de las PCI DSS. A1.4 Habilitar los procesos para proporcionar una investigación forense oportuna en caso de que haya un compromiso con cualquier comerciante o proveedor de servicios alojado.
El último 2 puede ser el más difícil, dependiendo de cómo se realizan el registro y los datos forenses.
Parece que podría estarlo si esas aplicaciones contienen datos de la tarjeta de crédito, o si tiene datos de la tarjeta de crédito, pero deberá consultar el documento de información general de SAQ , específicamente la sección sobre criterios de elegibilidad. Léalo para ver qué secciones se aplican a usted.
La pregunta es muy vaga en los detalles, así que no puedo dar nada definitivo. No soy un experto QSA o Legal. Esto se basa puramente en mi propia experiencia de PCI. Siempre me tomo la precaución y me aseguro de que todos los sistemas cumplen con PCI.
La respuesta corta a tu pregunta es sí. Si los aloja, es un proveedor de servicios o de host.
Ahora la parte compartida puede ser complicada. El alojamiento compartido generalmente significa que varios clientes comparten un servidor físico (o virtual). En este caso, es casi imposible ser compatible con PCI, ya que el cumplimiento de PCI requiere el aislamiento de los datos.
Una vez más, la pregunta es vaga en los detalles. Si proporciona más antecedentes, puedo proporcionar una mejor respuesta
Usted no es un proveedor de alojamiento compartido.
Usted es un proveedor de servicios (por lo tanto, SAQ-D mientras transmita menos de 300,000 transacciones por año).
También eres un proveedor en la nube / SaaS.
Lea otras preguntas en las etiquetas pci-dss shared-hosting