Precisamos nos tornar compatíveis com o PCI-DSS para que possamos processar os pagamentos do cliente por meio de nosso site e no escritório. Nossa rede é composta por um único servidor SBS 2008 e 10 estações de trabalho, todas conectadas a uma única LAN em um switch Dell. O roteador de Internet é um DrayTek 2820n.
Alguma coisa precisa ser feita em nossa configuração de rede existente para torná-la compatível com PCI-DSS?
Terceirize-o. Sério, se você ainda não conhece o PCI, você irá odiá-lo quando souber. Em um escritório tão pequeno, não há justificativa para processar pagamentos internamente. Use um provedor de terceiros (como o PayPal, seu banco também pode ter opções). Obter sua rede certificada provavelmente lhe custará um braço e uma perna. Usar um serviço de terceiros custará um pouco mais em cada transação, mas o ponto de equilíbrio será milhares de transações (ou mais).
Sim, muito precisará ser feito. Em primeiro lugar, a lista de padrões de segurança está aqui: link
Essa lista inteira se aplica a todos os ambientes de tamanho. A única coisa que muda dependendo de quantos números de cartão de crédito você processa e se você é ou não um provedor de serviços para outras lojas de varejo é o nível de auditoria que deve ser executado regularmente.
Se você nunca passou pelo processo antes e seu ambiente não exige uma auditoria de terceiros, recomendo que você faça pelo menos uma auditoria na primeira vez para ter certeza de que seguiu as diretrizes listadas nos documentos dos Padrões de Segurança.
Se for possível, recomendo strongmente evitar os requisitos de conformidade com PCI usando um processador de pagamento de terceiros. A conformidade total é um empreendimento muito dispendioso.
Tags networking security pci-dss