问PCI与近海开发的一致性

EN

首先祝你好运。

很高兴知道您到底想要满足哪些部分，这样我们就可以提供一个更具体的答案。

PCI主要关注的是职责分离。(它所关注的第二件事是审计师的意见，但这是另一回事)。也就是说，开发人员不应该访问QA，QA不应该访问生产等等。这里的另一个考虑因素是用于将代码推广到生产中的软件生命周期。我们的基础是微软的SDLC，我建议你看看它。

基本上是这样的。

1. 入场券，分配给ba/dev，用于“需求收集”。
2. 安全评估已经完成。这是一份调查问卷。基本上，代码是否触及任何与卡片处理等相关的内容。
3. 根据安全问卷结果，确定了具体的安全要求。这是说，你需要一个代码检查吗？(当然是外部的)。等

职责分离可能是这样的。

1. 源代码在源代码管理系统中可供QA签出/生成。
2. QA“测试”代码。这可能包括根据问卷结果进行的安全测试。
3. 如果需要，第三方进行守则审查。有许多第三方可供选择
4. QA将文档和构建的二进制文件传递给生产支持小组。
5. 生产支持工具。

您将发现，您将希望创建PCI“区域”。IE:高风险区域是任何与任何处理信用卡的系统/进程接触/交互的代码。显然，这方面的任何更改都需要第三方进行代码审查(特别是在您无法控制开发的情况下)。然后你就有了第二个区域。在此区域中更改的代码不需要与主区域中更改的代码相同的严格性。

以上仅涉及PCI需求的几个子部分。实际上，您必须记住，PCI更多地是关于标准和记录这些标准。选择“最佳实践”，然后显示你遵守了上述最佳实践。代码评审是这一领域的一大胜利。

在您的情况下，审核员可能关心谁有权访问您的源代码，以及他们如何获得访问它的权限。当然，您不能阻止某人用手拍摄屏幕快照或复制代码，但他们可能希望看到一些控件就位，这样就不能只将所有代码复制到USB中并留下。

我不是这方面的法律专家，但我在使一家主要的在线零售商符合PCI法规方面是一位技术带头人。

所以为了我的两便士：

PCI遵从性是关于数据保护的。

基本上-不要让开发者访问任何个人资料。无论是室内还是室外，这都适用.如果您必须在dev环境中使用实时数据，那么首先通过删除所有信用卡号码、更改客户名称、地址详细信息、电话号码等对其进行消毒。