PCI-DSS準拠の外部リポジトリを使用しています

私はこれを3.0バージョン（ https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf ）に基づいていますが、何かを見逃している可能性があることは認めます（私は最もよく知っています2.0）。

「ハイライト」pdfから https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf DSSで対応する要件を見つけることができませんが、私の目を引くものがあります。

定期的なセキュリティレビュー、ソースコードの整合性の検証、バージョニングの方法論、アプリケーションの脅威のモデリング手法の使用、最終リリース前の正式な承認プロセスなど、システム開発プロセスの強化された要件。

これは提案更新ですが、ソースコードの整合性の検証とバージョン管理の方法論は...興味深いことに注意します。

外部ホスト（または内部ホスト）を操作するときは、コードをコミットしたのはyoであり、誰かがあなただと言ったことではないことを検証する必要があります。私はあなたに指摘します Gitでコミットとタグに暗号で署名することの長所と短所は何ですか？ これは少しそして特に http://mikegerwitz.com/papers /git-horror-story.html

理論的には、あなたはすでにこれを行っています。外部リポジトリを使用すると、ソースコードを検証できることがさらに重要になります。 Atlassian Stash など、より「洗練された」内部ツールを調査することをお勧めしますが、コードをホストするための外部ツールに移行する理由がわかりません。

セクション6は開発の問題が迫っていて、2.0からほとんど変わっていないようです。ほとんどの場合、コード（6.3.2）を確認する必要があります。外部ホスティングがあると、これはさらに重要になります。

要件には、ソースコードをホストする必要がある場所とホストできない場所を示すものは何もありません。これで注意すべきことの1つは（多くのことになる）、「コードがシステムコンポーネントをホストしているサーバーである」という問題です。もしそうなら、あなたが注意しなければならないこととして多くの要件が提起され、あなたが物事を正しく行っていることを監査人に示すことができます。これらには、7.2、8.1、5。*が含まれます。あなたmayプロバイダーに「可用性から30日以内にセキュリティパッチをインストールしていますか」と尋ねることができる必要があります。それはカード会員データを保持していませんが...彼らがそれをシステムコンポーネントと考えるなら、あなたはいくつかの楽しみを得ました。

監査人の知識に応じて、これはさまざまな方法で進む可能性があります（これに精通している人は、タグまたはコミットに署名していることを確認し、それを許可する必要があります。本番のカード会員データ環境から本番のソースコードホスティング環境に、BitBucketからの監査アクセスログを見たいと思わないように伝えないでください。そして、それは物事が難しくなるかもしれないところです。

PCIの私の読みDSS 3.0およびコードのリモートホスティング：

• コミットやタグに署名し、これらのコード行からのみビルドするのがよいでしょう。

あなたmayこれを行うには、gitの操作方法を変更する必要があります（プッシュブランチとマージvsフォーク、タグ、プルリクエスト-後で説明する方が良いと思われます監査人に働きかけます-提案された要件の「ソースコードとバージョン管理方法論ビットの整合性を検証する」）