SAQ对VPS主机的要求

Question

我们是托管在一个自我管理的数字海洋VPS (“液滴”)的网站，将通过Stripe支付使用他们的stripe.js API。根据PCI的说法，我们已经确定我们属于SAQ .

然而，SAQ A-EP (第2G部分)指出：

如果商家网站由第三方提供商托管，则供应商将根据所有适用的PCI DSS要求进行验证(例如，如果供应商是共享托管提供商，则包括PCI DSS附录A)。

我很难理解以下几点：

1. 既然我们是在数字海洋提供的VPS上，我们是否考虑使用第三方提供商的“共享主机”？或者我们被认为是自我托管的，因为VPS是自我管理的，数字海洋没有外壳访问我们的盒子？
2. 附录A是否需要得到满足？如果是的话，由谁来决定？
3. 如果我们被认为是自我托管的，我们是否满足以下要求(也是在第2g部分)，因为我们的VPS有自己的IP地址，而且我们是唯一能够访问VPS的?商户的电子商务网站没有连接到商家环境中的任何其他系统(这可以通过网络分割来实现，以将该网站与所有其他系统隔离开来)。

Answer 1

首先，让我说我同意您的评估，即SAQ是您应该使用的(假设您的数量符合三级或四级，少于100万年交易量)。这对PCI来说是一个巨大的变化，我认为它将在支付空间中引起一些严重的涟漪。

我对PCI术语“共享主机”的理解不适用于数字海洋或任何VPS提供商。然而，他们仍然是一个托管提供商，因此可以访问持卡人的数据。他们在他们的安全页上说，工程团队的员工可以访问后端主机服务器。因此，如果他们愿意的话，他们完全有可能进入你的液滴。

你可以这样想，如果他们雇佣了一个恶意的人，那个人可以访问和修改你的液滴上的数据。如果他们可以修改您的液滴，他们可以添加JavaScript到页面，以虹吸掉持卡人的数据之前，它被发送到条纹。现在，我想我们都会期望Digital有适当的控制来监视/审计这些类型的事情，这就是PCI出现的地方。他们应该通过PCI级别1服务提供者评估来验证他们的控制。看起来像这件事以前就有过，他们说当时他们不需要任何形式的PCI依从性。

Answer 2

在我看来，鉴于您提供的信息，SAQ适合您的情况.

您不是自我托管和数字海洋是您的第三方供应商。托管不仅仅是您所托管的软件，也是硬件的物理安全性。“数字海洋”很可能访问存储在服务器上的数据，并且可以更改框中的文件，这些文件会导致支付页发生更改，而不需要SSH访问。无论它是否作为共享主机进行分类，Digital仍然需要对PCI的相关项进行验证(见下文)。

我不知道他们是否会被归类为共享主机，我会依赖于QSA在这方面的建议。如果它不是共享主机，那么请为其提供明确的理由。

在细分方面，大多数公司都会将其系统的一部分在范围内，部分超出范围。范围内的零件应从范围外的零件中分割和控制。您可能希望使您的整个网站在范围内，或者您可能希望将其分成单独托管的部分。外部各方也可能陷入或超出范围。数字海洋将在范围内，但因特网将超出范围。使用防火墙和其他方法保护您的范围内环境，因此只允许与您的环境之间的通信量。

SAQ要求在“开始之前”部分中有几项内容，这些内容都是您应该检查的内容。我想说的是，这听起来真的和你问的问题有关：

1. 如果商家网站是由第三方提供商托管的，则您的托管提供商需要对所有适用的PCI DSS需求进行验证，该提供商需要对所有适用的PCI DSS需求进行验证--数字海洋基本上需要符合PCI，或者至少要符合某些要求，这样您才能兼容PCI。最后一次我检查过了，没有。虽然AWS维护了PCI遵从性有一段时间，但是它们对于虚拟化和PCI来说是一个很好的默认。
2. 不要使用StripeJS在您的页面上使用外部JS、CSS等，所有交付给消费者浏览器的元素都来自商家的网站或PCI兼容的服务提供商(S)；
3. 您有责任确保您的服务提供商符合PCI标准，您的公司已经确认，所有处理持卡人数据存储、处理和/或传输的第三方(S)都符合PCI DSS标准。

以上是我的意见，而不是建议，你不应该依赖它，而是咨询注册的PCI QSA的意见。块引号来自v3。始终阅读完整的SAQ和PCI。