¿Es posible usar algún DVCS remoto (GitHub, Bitbucket, etc.) con PCI DSS o debo alojar Git en mi propio servidor?
Nota: no es un QSA, pero tengo algo de experiencia con PCI.
No hay nada en el PCI sobre el almacenamiento del código fuente; hay requisitos sobre la administración de cambios, con lo que github ayudaría, pero nada sobre dónde debería estar el código fuente o cualquier requisito para mantener el código fuente privado (permite el uso de código abierto). , después de todo). Dado un repositorio privado y suponiendo que no almacenes información de autenticación (claves, apéndices, contraseñas, claves api, certificados), datos controlados por PCI o PII en los repositorios de GitHub (que no deberías estar haciendo de todos modos), es probable que estés bien usando GitHub. . Hable con su QSA si quiere estar seguro.