我被要求为接受付款的客户设置一些注册表单,类似于本网站 ( https://www.martialartstechnologies.com/register?tournamentID=82 )。我是 Authorize.net 的经销商,但有时在客户发现他们需要符合 PCI 标准后,我发现他们很难注册。我正在考虑创建一个符合 PCI 标准的站点域,然后在他们自己的个人子域中运行每个客户的注册页面。如果我这样做,该域上的 PCI 合规性是否对每个子域都无效,还是仍会被覆盖?
问问题
322 次
3 回答
1
只有公司才能符合 PCI,而不是服务器、站点、特定脚本、域或子域名。整个基础设施,包括办公室 WiFi 网络和橱柜锁等都在接受审计。你不能欺骗审计员给橱柜涂上不同的颜色并声称它不是你的。
即使您有 1000 个域名——它们指向位于全球 1000 个地方的 1000 台服务器——你也必须将它们全部列出以进行 PCI 审计,并使它们都符合 PCI 标准。
于 2014-01-27T04:29:27.060 回答
0
子域可以在不同的服务器上,所以要回答的第一个问题是“相同或不同的服务器”?如果在不同的服务器上处理信用卡信息,则无论如何都需要使每台服务器都符合 PCI 标准。
于 2012-10-27T21:07:44.947 回答
0
PCI 合规性处理代码/基础设施的问题。您不能按照建议自动将其扩展到子域 - 即使主域是合规的。
尽管如此,如果您对所有子域使用相同的基础设施,您可以处理与代码相关的漏洞,或者只是将整个结构封装在符合 PCI DDS 的 WAF 中(我建议符合 Cloud PCI DDS 的 WAF 以降低成本)。
于 2012-10-28T08:34:55.860 回答