Al planificar la siguiente fase de nuestra plataforma, estoy tratando de asegurar que el proceso de implementación de producción sea compatible con PCI.
Tenemos una plataforma central que actúa como un CMS, que sirve contenido personalizado basado en un tipo de evento, que residirá en un entorno / servidor IIS reforzado.
Cada nuevo evento tiene una pantalla de inicio básica y un nombre de dominio personalizado, es decir, www.myevent1.com, www.myevent2.com, etc.
El problema es que necesitaremos agregar nuevos nombres de dominio con frecuencia. Al ser compatible con PCI, no podemos tener desarrolladores que accedan a servidores de producción.
estados PCI-DSS 6.4:
Una separación de funciones entre el personal asignado a la entornos de desarrollo / prueba y aquellas personas asignadas a la entorno de producción.
Estoy tratando de mantener la separación de tareas según las especificaciones de cumplimiento.
Por lo tanto, mi opinión era mantener el servidor CMS tal como está, completamente reforzado, sin acceso de desarrollador. Luego, tenga un servidor IIS secundario donde los desarrolladores puedan agregar nuevos dominios según sea necesario y cargue las páginas de inicio estáticas que enlazan con el contenido del CMS.
¿Pensamientos?
- ACTUALIZACIÓN -
Utilizaremos el cumplimiento del nivel 4 de PCI-DSS, por lo que no tendremos ningún dato del titular de la tarjeta en nuestros servidores. El procesador de pagos tendrá esta información.