Mi organización está emprendiendo un proyecto para intentar reducir la cantidad de nuestra infraestructura cubierta por el alcance de PCI. Específicamente, buscamos excluir nuestro software de comercialización web del alcance PCI.
Por supuesto, para que esto suceda, tendremos que asegurarnos de que los servidores de la aplicación nunca obtengan información del titular de la tarjeta y que los servidores de la aplicación nunca se conecten a nada en el CDE. >
Hemos hablado con nuestro QSA al respecto y mencionó que muchas organizaciones hacen precisamente eso. Pero por mucho que busquen en Google, puedo encontrar poca evidencia adicional de esto, y mucho menos acerca de las mejores prácticas al emprender un proyecto de este tipo.
¿Es esta (incluso de forma remota) una forma adecuada de abordar el problema? ¿Qué debo saber al entrar en un proyecto como este? Y, ¿quién más ha escrito sobre el tema y qué buscaría en Google para encontrar más información?
Gracias de antemano.