Somos una empresa de software relativamente pequeña que tiene el requisito de almacenar PAN para nuestros clientes. Las soluciones de pago alojadas simplemente no se ajustan a los requisitos de nuestros productos. Literalmente tenemos 3 líneas de código de encriptación en C # que actualmente utiliza Ent Lib.
Hemos consultado a un QSA muy bien informado y hemos descubierto cómo vamos a rediseñar nuestra solución de manera fundamental para que todo el producto no se encuentre dentro del alcance del cumplimiento de PCI, lo que detendría nuestra capacidad de innovación. .
Ahora tengo una lista de compras y un presupuesto muy ajustado. El único elemento que me está causando un importante dolor de cabeza es la solución de administración de claves PCI. Los HSM son caros y las soluciones de software equivalentes también son sorprendentemente caras. Conseguimos constantemente cotizaciones en la región de £ 30,000 a £ 50,000 por algo que esperaría que no fuera más de £ 1000 por servidor más las licencias de desarrollo gratuitas. Solo requerimos 2 servidores con un modo de espera tibio para acceder a las claves seguras. ¡Parece que las letras PCI están agregando ceros al precio por algo que, conceptualmente, no será tan difícil!
¿Alguien está utilizando una solución rentable con la que su QSA esté satisfecho? Tengo la sensación de que los QSA quieren el Rolls Royce / Ferrari cuando un Mini de nivel básico lo haría por muchas compañías. Estoy feliz de gastar dinero y supongo que he restablecido un poco mi visión pero algo por debajo de £ 5000 sería un presupuesto realista para nosotros.