Kommentare zu: Erfahrungen mit einer PCI DSS-Zertifizierung http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/ Managing Technology, from the trenches Sun, 05 Feb 2012 17:48:30 +0000 http://wordpress.org/?v=2.2.1 By: Jan http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6125 Jan Wed, 19 May 2010 12:46:36 +0000 http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6125 Hmm die Frage ist ob das aus den PCI Standards raus kommt, oder sich jmd anderes ausgedacht hat. Ich denke die Verifizierung bei Code-Änderungen, die im "Bereich" der KK-Daten ist, ist legitim. Ob man das auf jede einzelne Code-Änderung ausdehnen muss, sei mal dahingestellt. Vor allem in einer "normalen" Web-App. Sonst kann ich ja kein Bild mehr austauschen, ohne einen ewigen Prozess. Hmm die Frage ist ob das aus den PCI Standards raus kommt, oder sich jmd anderes ausgedacht hat.

Ich denke die Verifizierung bei Code-Änderungen, die im “Bereich” der KK-Daten ist, ist legitim.

Ob man das auf jede einzelne Code-Änderung ausdehnen muss, sei mal dahingestellt. Vor allem in einer “normalen” Web-App. Sonst kann ich ja kein Bild mehr austauschen, ohne einen ewigen Prozess.

]]> By: Felix http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6124 Felix Wed, 19 May 2010 12:32:30 +0000 http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6124 Ok, kommt dann wohl aufs Level an(?). Wir "dürfen" bei jeder Codeänderung (Eine Person) einen Laufzettel ausfüllen, der dann durchs QM muss (Zweite Person) und nach O.K. vom QM dann zum Sysadmin (Dritte Person) die dann den Code ohne Änderungsmöglichkeit Live stellt. Das QM "muss" dann halt drauf achten, dass alles Sicher ist. (Nach http://www.owasp.org/index.php/OWASP_Top_Ten_Project) Ok, kommt dann wohl aufs Level an(?).
Wir “dürfen” bei jeder Codeänderung (Eine Person) einen Laufzettel ausfüllen, der dann durchs QM muss (Zweite Person) und nach O.K. vom QM dann zum Sysadmin (Dritte Person) die dann den Code ohne Änderungsmöglichkeit Live stellt.
Das QM “muss” dann halt drauf achten, dass alles Sicher ist. (Nach http://www.owasp.org/index.php/OWASP_Top_Ten_Project)

]]> By: Jan http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6123 Jan Wed, 19 May 2010 11:51:00 +0000 http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6123 Ich habe das so verstanden, dass man den Prozess neu durchlaufen muss, wenn man ändert wie man Kreditkartendaten annimmt, speichert oder verwaltet. Das sollte ja halbwegs selten passieren. Oder hast du da andere Informationen? Ich habe das so verstanden, dass man den Prozess neu durchlaufen muss, wenn man ändert wie man Kreditkartendaten annimmt, speichert oder verwaltet. Das sollte ja halbwegs selten passieren.

Oder hast du da andere Informationen?

]]> By: Felix http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6121 Felix Wed, 19 May 2010 10:41:21 +0000 http://www.managingtech.de/2010/05/18/erfahrungen-mit-einer-pci-dss-zertifizierung/#comment-6121 Du hast jetzt leider nichts über den Papierkrieg und den personellen Aufwand geschrieben, der mit auf einen zu kommt und einen im Alltag beim entwickeln und live stellen von änderungen am System "nervt". Du hast jetzt leider nichts über den Papierkrieg und den personellen Aufwand geschrieben, der mit auf einen zu kommt und einen im Alltag beim entwickeln und live stellen von änderungen am System “nervt”.

]]>