Должен ли весь исходный код соответствовать PCI?
Мы никогда не передавали, не обрабатывали и не хранили информацию о кредитных картах в прошлом, поскольку мы все делали через PayPal, поэтому нам никогда не нужно было соответствовать требованиям PCI.
Однако мы запускают новый интернет-магазин, и благодаря наличию беспрепятственной проверки, где информация о кредитных картах обрабатывается без перенаправления в PayPal, нам сейчас нужно соответствие PCI.
Мы собираемся проконсультироваться с компанией квалифицированного эксперта по безопасности, чтобы помочь нам в получении и поддержании PCI соответствие. Однако я хотел получить хорошее представление о том, на что я смотрю, прежде чем проконсультироваться с ними, прежде чем они попытаются продать вам все услуги в доме, которые могут вам не понадобиться.
Что касается соответствия PCI, я понимаю, что это необходимо должно выполняться на программном и аппаратном уровне и соответствовать требованиям 12+ пунктов. Мы выбираем Magento Professional, поскольку он имеет платежную систему, совместимую с PCI, и мы выбираем компанию веб-хостинга, совместимую с PCI (выделенный сервер). Но с точки зрения программного обеспечения, нужно ли ВСЕ соответствие требованиям PCI? Или просто программное обеспечение, которое передает, хранит и обрабатывает информацию о кредитных картах?
Например, согласно Magento, платежное программное обеспечение соответствует стандарту PCI, а платформа Magento - нет. Таким образом, это позволяет вам вносить изменения, модификации и настройки в Magento, не влияя на соответствие PCI платежного программного обеспечения.
Другими словами, я спрашиваю, требуется ли вам соответствие PCI только для исходного кода / программного обеспечения, которое имеет дело с передача, обработка и хранение информации о кредитной карте? Эти «Квалифицированные компании-оценщики безопасности» создают впечатление, что весь исходный код необходимо проверять на соответствие PCI, что невозможно!
Например, в случае Magento, могу ли я вносить в него изменения и модификации и при этом оставаться PCI совместимый? Пока платежный модуль не трогается, так как он совместим с PCI, а веб-хостинг, сервер и операционная система совместимы с PCI?
Я имею в виду, что php, javascript, mysql, которые не работают с кредитными картами, не должны быть послушны ли они? конечно, они будут на одном сервере.