So scheint es, dass PCI-Compliance eine Reihe von Faktoren hat, die entweder unklar sind oder sich in den Anforderungen widersprechen.ist eine E-Commerce-Website, die als eine externe Anwendung betrachtet wird, die die PCI-Konformität erfüllen muss. 6.3
Wir haben eine E-Commerce-Website, die wir verwalten. Ich sehe eine große Anzahl von Elementen, die in Abschnitt 6.3 für interne und externe Anwendungen erforderlich sind (einschließlich Web-Admin-Panels für diese Anwendungen).
Dann gibt es in 6.6 nur einige Anforderungen, die für öffentlich zugängliche Webanwendungen gelten.
Wird eine E-Commerce-Site als Teil der "externen Anwendungen" angesehen oder sind das CRM- und Buchhaltungssysteme, und eine E-Commerce-Website wird als öffentliche Webanwendung betrachtet?
Wenn es sich um eine externe Anwendung handelt, dann müssen Sie unter 6.3 eine manuelle Prüfung des gesamten Codes durchführen, aber in 6.6 müssen Sie den gesamten entwickelten Code nicht manuell überprüfen, wenn Sie eine Webanwendungs-Firewall verwenden. Das ist der Hauptpunkt meiner Verwirrung.
Oder möglicherweise eine bessere Möglichkeit, diese Frage zu stellen ist: Ist der Web-Entwickler erforderlich, um ein SAQ für die Verwaltung und Wartung einer E-Commerce-Website für einen Client bei einem großen Dienstleister wie Liquid Web durchgeführt zu vervollständigen? Wir speichern und notieren keine CC-Nummern, die über eine SSL-geschützte Website übertragen werden. –