我可以使用 GitHub 并符合 PCI DSS 标准吗?

信息安全 pci-dss pci-scope 混帐
2021-08-20 07:11:11

是否可以将任何远程 DVCS(GitHub、Bitbucket 等)与 PCI DSS 一起使用,或者我应该在自己的服务器上托管 Git?

1个回答

注意:不是 QSA,但我确实有一些 PCI 经验。

PCI 中没有关于源代码存储的任何内容 - 有关于变更管理的要求,github 会提供帮助,但没有关于源代码应该在哪里或保持源代码私有的任何要求(毕竟它允许使用开源)。给定一个私有仓库并假设您没有在 GitHub 存储库中存储身份验证信息(密钥、appids、密码、api 密钥、证书)、PCI 管理的数据或 PII(无论如何您都不应该这样做),那么使用 GitHub 可能没问题. 如果您想确定,请咨询您的 QSA。