Por supuesto, siempre es más inteligente aceptar los juicios de su QSA al realizar juicios de juicio, sin embargo, durante su propio trabajo de cumplimiento interno, recomiendo consultar Navegación de PCI-DSS: Comprensión del documento Intento de los requisitos cuando se confunde con un requisito.
Mirando la página 32 de ese documento, vemos el siguiente artículo sobre el requisito 6.4.2
Reduciendo el número de personal con acceso a la producción.
El entorno y los datos del titular de la tarjeta minimizan el riesgo y ayudan a garantizar que
el acceso está limitado a aquellas personas con una necesidad comercial que deben conocer.
La intención de este requisito es asegurar que el desarrollo / prueba
Las funciones están separadas de las funciones de producción. Por ejemplo, un
desarrollador puede utilizar una cuenta de nivel de administrador con elevado
privilegios para su uso en el entorno de desarrollo, y tienen una
Cuenta con acceso de nivel de usuario al entorno de producción.
En entornos donde una persona realiza múltiples roles (por ejemplo,
Desarrollo de aplicaciones e implementación de actualizaciones a producción.
sistemas), las tareas deben asignarse de tal manera que ninguna persona haya
Control de extremo a extremo de un proceso sin un punto de control independiente. por
Ejemplo, asignar responsabilidad para el desarrollo, autorización y
monitoreo para separar individuos.
Entonces, por la lectura más estricta, entonces sí. Los desarrolladores tienen acceso al sistema de desarrollo y pueden tener acceso de rol de usuario a la producción, pero un individuo por separado realizará las instalaciones / administración de la aplicación y la administración del sistema del entorno de producción. El verdadero propósito de todo esto, como se discutió en el último párrafo, es que no hay una sola persona que tenga un control administrativo de extremo a extremo del servicio. Lo que quieren son varias personas con visibilidad en el proceso para que ninguna persona pueda hacer cambios en el desarrollo y convertirlos en producción sin cuestionarlos.
Por lo tanto, siempre que sea posible, el consejo oficial se resumirá mejor con una foto.
Sin embargo, en la práctica seria, necesita descubrir la mejor manera de administrar esa auditoría y / o segregación, al mismo tiempo que documenta sus procesos y, eventualmente, su QSA los maneja adecuadamente.