PCI DSS 3.2 SAQ A y SAQ A-EP - 2 tiendas web diferentes

Navega tus respuestas
1

Hice una evaluación previa de 2 tiendas web de una empresa hoy.

Una tienda web utiliza formularios basados en publicación directa para insertar y enviar datos de titulares de tarjetas. Hacer esto significa que la compañía es elegible para un SAQ A-EP. Está alojado en Azure, en un entorno pequeño, que está aislado del resto.

El otro utiliza una solución iFrame alojada de un tercero compatible con PCI. Esto podría hacerse con un SAQ A. Sin embargo, está alojado en su propio centro de datos.

¿Esto significa que la empresa debe cumplir con los requisitos del SAQ A-EP a nivel mundial, para ambas tiendas? ¿O puedo cubrir los requisitos por tienda individualmente? ¿Y aplicar el SAQ A para una tienda y el A-EP para la otra? Al menos en función de los requisitos que deberían ser posibles.

    
pregunta 0x90 10.03.2017 - 23:31
fuente

2 respuestas

2

Como veo, hay dos tiendas web de la misma empresa en las que uno ha alojado su sitio web en su propio centro de datos, mientras que el otro se ha alojado en la nube (Azure). Dado que la primera tienda web utiliza iFrame para cargar páginas de proveedores de servicios de pago de terceros compatibles con PCI, independientemente de dónde haya alojado su web, solo requiere SAQ A y los análisis de ASV trimestrales son absolutamente opcionales. Pero en el caso de una segunda tienda en línea alojada en la nube que redirige los datos de la tarjeta a terceros con https POST, no solo se requieren las exploraciones de ASV-EP y ASV trimestrales, sino también las exploraciones internas de VA en forma trimestral y la prueba de penetración externa al menos anualmente. El estándar PCI DSS v3.2 actual. Dado que la mayoría de los proveedores de servicios de nube líderes ya cumplen con una serie de estándares de seguridad internacionales, puede solicitar una copia de su certificado PCI que sea lo suficientemente justo para los requisitos de SAQ-EP.

    
respondido por el taurean72 10.11.2017 - 05:40
fuente
1

Eso es correcto. No se necesita nada más que SAQ A para la aplicación con la solución iframe, ya que está aislada de los datos de cc.

    
respondido por el joe 11.03.2017 - 04:16
fuente

Lea otras preguntas en las etiquetas

¿Se chatea con la IP original a través de VPN encriptada? [cerrado] Preocupaciones de seguridad de la URL relativa proporcionada por el usuario en la ubicación: encabezado