カード所有者の情報を収集し、MySQL データベースに保存する新しいソフトウェア (実際には単一の php スクリプト) を開発しています。もちろん、セキュリティに関してはあらゆる予防策を講じています (ファイアウォール、アンチウイルス、SELinux、マシンへのアクセス制限) が、公開する前に次にどのような手順を踏む必要があるかを理解しようとしています.
クライアントはレベル 4 の加盟店 (実際の取引はなく、カード所有者情報の保管のみ) であるため、外に出て見つける必要があるスキャンは何ですか?
明らかに、サーバー/IP をスキャンする必要がありますが、データを収集する php スクリプトはどうでしょうか?
クライアントが実際にトランザクションを実行していないという事実は、PCI/DSS がトランザクション処理と同様にカード データ ストレージにも適用されるため、コンプライアンス義務に影響を与えません。追加義務。
クライアントとの関係と、ソフトウェアの分類方法 (サービス/既製製品など) によっては、PA-DSS の下で追加の義務を負う場合もあります。PA-DSSは、支払い (ストレージのみを含む) ソフトウェアの開発者を対象としています。 PCIに準拠するように設計されたものを販売する場合、かなりハードコアになります。
仕様のV2のコピーに目を通してみると、すべての要件がリストされています。たとえば、6.6 では、公開されている Web アプリケーション (「独立した」コード レビューまたはアプリケーション ファイアウォール) で何をする必要があるかが説明されています。