En mi opinión, dada la información que proporcionó, SAQ A-EP se ajusta a su escenario.
Usted no está auto hospedado y Digital Ocean es su proveedor externo . El alojamiento es más que el software que aloja, pero también la seguridad física del hardware. Es probable que Digital Ocean tenga acceso a sus datos almacenados en el servidor, y podría alterar los archivos en la caja que hacen que las páginas de pago cambien sin acceso SSH. Independientemente de si se clasifican como hosting compartido, Digital Ocean aún debe validarse en los elementos relevantes de PCI DSS (ver más abajo).
Sin embargo, no sé si se clasificarían como Alojamiento compartido y me basaría en los consejos de un QSA en este caso. Si no es un alojamiento compartido, obtenga una justificación clara de por qué.
En lo que respecta a la segmentación , la mayoría de las empresas tendrán partes de sus sistemas dentro y fuera de su alcance. Las partes en el alcance deben ser segmentadas y controladas desde las partes fuera del alcance. Es posible que desee que su sitio web esté completo, o que desee dividirlo en partes alojadas por separado. Las partes externas también pueden caer dentro / fuera del alcance. p.ej. Digital Ocean estará dentro del alcance, pero Internet estará fuera del alcance. Asegure su entorno dentro del alcance utilizando cortafuegos y otros medios, por lo que solo se permite el tráfico destinado a su entorno.
El SAQ A-EP requiere varias cosas en la sección "Antes de comenzar" que serán todas las cosas que debes verificar. Una pareja a la que quiero llamar, suena realmente relevante para las preguntas que está haciendo:
-
Su proveedor de alojamiento debe ser validado para todos los requisitos aplicables de las PCI DSS
Si el sitio web del comerciante está alojado por un proveedor externo, el proveedor está validado para todos los requisitos aplicables de las PCI DSS
Digital Ocean esencialmente necesita ser compatible con PCI, o al menos algunos de los requisitos, para que usted sea compatible con PCI. La última vez que comprobé que no lo están . AWS ha mantenido el Cumplimiento de PCI durante algún tiempo, y son un buen valor predeterminado para la virtualización y PCI.
-
No use JS, CSS, etc. externos en sus páginas usando StripeJS
Todos los elementos de las páginas de pago que se envían al navegador del consumidor se originan en
el sitio web del comerciante o un proveedor o proveedores de servicios compatibles con PCI DSS;
-
Es su responsabilidad asegurarse de que sus proveedores de servicios sean compatibles con PCI
Su compañía ha confirmado que todos los terceros que manejan el almacenamiento, el procesamiento y / o la transmisión de datos del titular de la tarjeta son compatibles con PCI DSS
Lo anterior es mi opinión y no un consejo, no debe confiar en ello y, en su lugar, consultar a un PCI QSA registrado para obtener asesoramiento. Las citas en bloque se encuentran en PCI DSS SAQ A-EP v3 . Lea siempre la versión completa de SAQ y PCI DSS.