我的公司开发并托管了一个定制的电子商务和 CMS 系统。我们仅在托管的软件即服务模型下提供此服务。我们完全控制托管环境,我们的客户无法控制源代码。他们不能部署在自己的硬件上;他们必须从我们这里租用软件。
供应商询问我是否符合 PA-DSS。根据PA-DSS 要求和安全评估程序 v2.0:
PA-DSS 不适用于应用程序或服务提供商仅作为服务提供的支付应用程序(除非此类应用程序也出售、许可或分发给第三方),因为:
应用程序是提供给客户(通常是商家)的服务,客户没有能力管理、安装或控制应用程序或其环境;
该应用程序由应用程序或服务提供商自己的 PCI DSS 审查覆盖(此覆盖范围应由客户确认);和/或
该应用程序不出售、分发或许可给第三方。
我试图了解我们是否符合这些标准。在我看来,我们会这样做,因为我们可以完全控制软件;我们是应用服务提供商,软件仅作为服务提供。我们的客户没有能力安装或管理应用程序的环境,只有我们的员工可以。我们的客户当然可以使用该应用程序来创建产品并查看他们的订单,但是所有安装和服务器维护都由我们完成。
我们完全符合 PCI 标准。
当代码和环境完全由供应商管理时,PA-DSS 是否适用于这样的自定义托管电子商务应用程序?