Size: a a a

DevSecOps - русскоговорящее сообщество

2019 May 23

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Вдобавок, определение service provider, настолько общее, что туда попадает всё что стоит рядом с карточными данными
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Плохо когда нет опыта, аудиторы обычно понимают всё совершенно по другому, нежели ты, почитавший гуглов
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Stanislav Sharakhin
Плохо когда нет опыта, аудиторы обычно понимают всё совершенно по другому, нежели ты, почитавший гуглов
Big4 надо что-то кушать =)
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Stanislav Sharakhin
Плохо когда нет опыта, аудиторы обычно понимают всё совершенно по другому, нежели ты, почитавший гуглов
В защиту PCI DSS-а скажу, что это предельно четкий стандарт. Все остальные позволяют такие трактовки, что можно на голом месте стать и 100% комплаент и 100% не комплаент
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Контроли там понятные, но вы возьмите определение сервис провайдера из глоссария
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Service Provider:
Business entity that is not a payment brand, directly involved in the processing, storage, or transmission of cardholder data on behalf of another entity. This also includes companies that provide services that control or could impact the security of cardholder data. Examples include managed service providers that provide managed firewalls, IDS and other services as well as hosting providers and other entities. If an entity provides a service that involves only the provision of public network access—such as a telecommunications company providing just the communication link—the entity would not be considered a service provider for that service (although they may be considered a service provider for other services).
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
То есть, если ты вроде мерчант, но данные обрабатываешь на своей инфраструктуре - ты сервис провайдер?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Да, там же написано потом
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Note that a merchant that accepts payment cards as payment for goods and/or services can also be a service provider, if the services sold result in storing, processing, or transmitting cardholder data on behalf of other merchants or service providers.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
критерии не в том, где обрабатываешь,
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
странно, мы подавали SAQ D, с указанием цодов и прочего барахла, и никто нас не просил стать сервис провайдером
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Не, я неправильно выразился
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Вы становитесь сервис провайдером, если даете другим мерчентам своими мощностями пользоваться
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
другим - не аффилированным с текущим юрлицом?
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Зависит от въедливости аудитора и ваших договоров
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Вот, я сразу подумал что нужно начинать с аудиторов, что скажут
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Но думаю да, если есть аффилированность, то скорее всего вы не сервис провайдер.
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Если внутренние распорядки одни для всех, и вы на мерчантах не зарабатываете, то будет так
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
Если между вами "деловые отношения" и бабки врозь, то возможны разные трактовки
источник

bc

buggy c0d3r in DevSecOps - русскоговорящее сообщество
А вообще самый простой способ проверить - это нарисовать всю цепочку движения транзакции и понять риски на каждом этапе (и найти тех, кто за них отвеччает)
источник