Como executar um site com segurança em um servidor cuja administração e segurança são terceirizadas?

1

Sou um desenvolvedor da web e não sei muito sobre administração e segurança do sistema. Seria possível configurar um site que processasse pagamentos com cartão de crédito, pagamentos, pagamentos com bitcoin ou outras atividades privadas enquanto estivesse usando um host gerenciado ou terceirizando a segurança e a administração, sem sacrificar a segurança?

É claro que eu poderia usar APIs, como o Stripe, para processar pagamentos, mas isso não significa que alguém com acesso ao meu servidor não vá usar a chave da API secreta para cobrar clientes e outros tipos de comportamento inadequado.

Em resumo, como as pequenas startups sem um administrador de segurança / sistema a bordo lidam com segurança / administração, sem comprometer seus usuários?

    
por Blossoming_Flower 14.08.2013 / 20:23

2 respostas

6

Esta não é uma questão técnica e a resposta também não é técnica.

Coloco servidores em um datacenter que é regularmente auditado para conformidade com PCI-DSS e SAS-70 Tipo II. Meus acordos com eles especificam que eles tratarão meus dados confidenciais (da mesma forma que os deles).

Você precisa de um contrato legal com o datacenter ou provedor de serviços gerenciados com o qual faz negócios para não roubar os dados dos seus clientes e precisará de cópias de suas auditorias de conformidade com PCI para fornecer aos seus próprios auditores. eles aparecem.

    
por 14.08.2013 / 20:26
0

Tudo depende do seu acordo, certificação e auditorias que eles passarão, suas políticas, especialistas, recomendações, manutenção de software do servidor, ambiente, etc. A segurança é uma grande coisa - você precisa de mão de obra para verificar o provedor.

P.S.

PCI-DSS Não tem nada a ver com isso! ELES NUNCA VERIFICARÃO SEU SERVIDOR, está fora de sua missão

De acordo com os requisitos VISA / MC / AMEX, os dados do cartão de crédito (chamadas informações confidenciais) não podem ser processados pelo site até que ele atinja um número significativo de transações (centenas de milhares), portanto os números de cartão de crédito não são enviado para o seu servidor, os clientes são redirecionados para o site de pagamento do centro de processamento e você está recebendo a confirmação do pagamento, isso é tudo (se você está executando um site como este - você já sabe disso). Portanto, o PCI-DSS não afetará você até que você alcance esse número. Eu trabalhava em um dos centros de processamento e estava trabalhando em pagamentos seguros para sites ( 3-D Secure etc) , com sucesso passado PCI-DSS. PCI se preocupa apenas com dados confidenciais, e NADA mais.

Quando o seu site atingir esse número, acredito que você terá seu próprio DC e equipe de segurança com os administradores:)

    
por 15.08.2013 / 10:24

Tags