PA-DSSはSaaS eCommerceシステムに適用されますか?
私の会社では、カスタムeコマースおよびCMSシステムを開発してホストしています。これは、ホスト型のサービスとしてのソフトウェアモデルでのみ提供されます。私たちはホスティング環境を完全に制御しており、お客様はソースコードを制御できません。独自のハードウェアに展開することはできません。彼らは私たちからソフトウェアをリースしなければなりません。
ベンダーから、PA-DSSに準拠しているかどうか尋ねられます。 PA-DSS要件およびセキュリティ評価手順v2.0 に従って:
PA-DSSは、アプリケーションまたはサービスプロバイダーがサービスとしてのみ提供するペイメントアプリケーションには適用されません(そのようなアプリケーションが第三者に販売、ライセンス供与、または配布されている場合を除く)。
アプリケーションは顧客(通常は販売者)に提供されるサービスであり、顧客はアプリケーションまたはその環境を管理、インストール、または制御することができません。
アプリケーションは、アプリケーションまたはサービスプロバイダー自身のPCI DSS review(このカバレッジはお客様が確認する必要があります)によってカバーされます)、および/または
アプリケーションは第三者に販売、配布、またはライセンス供与されていません。
私たちがそれらの基準に該当するかどうかを理解しようとしています。私たちがソフトウェアを完全に制御しているので、それは私たちのように聞こえます。私たちはアプリケーションサービスプロバイダーであり、ソフトウェアはサービスとしてのみ提供されます。お客様には、アプリケーションの環境をインストールまたは管理する機能はありませんが、スタッフのみが実行できます。もちろん、クライアントはアプリケーションを使用して製品を作成し、注文を表示できますが、インストールとサーバーのメンテナンスはすべて当社が行います。
私たちは完全にPCIに準拠しています。
コードと環境がベンダーによって完全に管理されている場合、PA-DSSはこのようなカスタムホストeコマースアプリケーションに適用されますか?
PA-DSSは、アプリケーションまたはサービスプロバイダーがサービスとしてのみ提供するペイメントアプリケーションには適用されません(そのようなアプリケーションが第三者に販売、ライセンス供与、または配布されている場合を除く)。
アプリケーションは顧客(通常は販売者)に提供されるサービスであり、顧客はアプリケーションまたはその環境を管理、インストール、または制御することができません。
[私の読書では適用されません]
アプリケーションは第三者に販売、配布、またはライセンス供与されていません。
They cannot deploy on their own hardware; they have to lease the software from us.
また、注意してください:サードパーティとは、お客様のクライアントを意味します。クライアントが問題のソフトウェアをクライアントに使用することを許可していないのですか? (ショッピングカート機能は無視します。ここでは問題になりません)
もちろん、クライアントはアプリケーションを使用して製品を作成し、注文を表示できますが、インストールとサーバーのメンテナンスはすべて私たちが行います。
これが真実でなければ、それは本当に製品ではありません。 IE:すべての製品がこの容量を備えている必要があるため、検討から除外することができます。
あなたの質問/クレームを読んで、あなたが使っている製品は確かにカバーされていると思います。顧客に請求プロセスの全体を見せるとしたら、それは私の意見ではありません。しかし、インフラストラクチャを制御し、関連する部分へのアクセスを許可するだけなので、カバーされます。
それは私の素人の読書です。