GG
Size: a a a
2019 December 17
bc
В некоторых моментах можно притянуть за уши доказательство)
Вот они этим и занимаются, если они прогрессивные. А если нет, то вам пизда на сертификации. Потратите кучу времени и нервов на этот театр
bc
Кстати ISO в этом плане дружелюбнее. Видимо потому, что если будут сильно выеживаться, никто их услугами пользоваться не будет
bc
PCI в этом плане может жестить, ибо нет сертификации? Хуй тебе а не доступ в платежную систему
NR
типа "бля буду все ок" - не верят?
Нет. Скриншоты, логи, тикеты надо часть предоставлять
GG
да не вопрос ) пускай смотрят
NR
pci dss исторически появился на волне карточного интернет фрода - когда оказалось что мерчантам все равно на безопасность и они (в основной своей массе) не способны обеспечить. А медиа и клиенты начали слегка паниковать
NR
Виза и мастер решили взяться за дело, сделали как смогли - в среднем стало лучше
GG
просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
GG
чуть что - прокидываем данные внутрь и не ломаем себе голову
S
просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
мне кажется что обеспечить и поддерживать выполнения требования pci для новых сегментов не самая простая задача, поэтому добавлять новые системы в скоуп не думаю, мне кажется плохой идеей
bc
просто выглядит так, что чтобы с этим не заморачиваться - засовываешь все что можешь в контур. А вся обвязка в виде клиентского приложения - пускай болтается снаружи
В целом все так и делают. А потом хуяк парни из PCI DSS сходили на RSA Conference и узнали про 2FA. И такие, О, а это мысль. И решили, что весь доступ в контур по 2ФА
bc
И ты такой ебаааааать, и начинаешь в обратку все из скоупа вытягивать
bc
Ну и есть набор методов "Это не те дроиды, которых вы ищете", чтобы съехать с выполнения требований. Если подружитесь с аудитором, он вас научит этой магии
bc
мне кажется что обеспечить и поддерживать выполнения требования pci для новых сегментов не самая простая задача, поэтому добавлять новые системы в скоуп не думаю, мне кажется плохой идеей
Самое смещное, что PCI DSS этот вопрос никак не обговаривает вообще
bc
Ну подразумевается, что у вас все процессы на месте, и вы можете вносить в скоуп изменения. Но вот надо ли проходить внеочередную сертификацию... и какой объем изменений считать значительным? Вот тут все зависит от жадности QSA =)
bc
Два QSA из разных компаний мне дали диаметрально противополжные ответы на этот вопрос
NR
Ну подразумевается, что у вас все процессы на месте, и вы можете вносить в скоуп изменения. Но вот надо ли проходить внеочередную сертификацию... и какой объем изменений считать значительным? Вот тут все зависит от жадности QSA =)
Аудит раз в год. Пентесты иногда надо делать дополнительные при больших изменениях
NR
(Это из больших вещей)
bc
Я уже сказал, два разных QSA из разных в том числе географически компаний мне дали абсолютно противоположные ответы на влопросы об измнениях в скоупе.