我们是相对较小的软件公司,需要为我们的客户存储 PAN。托管支付解决方案不符合我们的产品要求。我们实际上在 C# 中有 3 行加密代码,目前使用的是 Ent Lib。
我们从知识渊博的 QSA 那里获得了一些咨询,我们已经确定了我们将如何从根本上重新构建我们的解决方案,以便整个产品不属于 PCI 合规范围,这会阻碍我们的创新能力。
我现在有一个购物清单和一个非常紧张的预算。让我非常头疼的一项是 PCI 密钥管理解决方案。HSM 很昂贵,等效的软件解决方案也非常昂贵。我们一直在获得 30,000 到 50,000 英镑的报价,我预计每台服务器不超过 1000 英镑加上免费的开发许可证。我们只需要 2 台带卢克热备用服务器的服务器即可访问安全密钥。似乎 PCI 的字母在价格上加了零,而这在概念上并不难!
是否有人使用他们的 QSA 满意的具有成本效益的解决方案。我感觉 QSA 想要劳斯莱斯/法拉利,而入门级 Mini 可以为很多公司服务。我很乐意花钱,我想我已经重新设定了一些目标,但 5000 英镑以下的预算对我们来说是一个现实的预算。