由商家确保他符合 PCI 标准。因此，这意味着当您作为商家经营一个持有或处理持车人数据的网上商店时，您有责任保护它。要么你自己做，要么把风险转移给 Heroku。要转移风险（或部分风险），您需要 Heroku 提供的证明，其中明确显示他们针对 PCI-DSS 实施了哪些控制。然后，您可以将此证明用作保证。

如果你看看他们所说的：

我们使用符合 PCI 的支付处理器 Braintree 来加密和处理信用卡支付。Heroku 的基础设施提供商符合 PCI 1 级标准。

这并不意味着他们的整个环境都可以用于存储或处理持卡人数据，这只是意味着他们自己在处理客户和他们的卡时是符合 PCI 标准的。他们没有说明 Heroku 可以按原样用于处理或存储持卡人数据的应用程序。

因此，为了能够从 Heroku 获得保证，应该对整个 Heroku 平台进行审计，以确保它们符合 PCI 标准。这些供应商通常会提供这些类型的声明，这些声明可以以 ISAE3402 的形式涵盖 PCI-DSS 控制（如果您的 QSA 认为可以接受）。

他们还声明它们可用于需要符合萨班斯和奥克斯利法案 (SOX) 的应用程序。这些需要 SOC 报告，他们似乎提供了这些报告。SOC 报告还涵盖了无数的安全控制，您的 QSA 可以使用这些安全控制来保证 PCI DSS。

请注意，接受或拒绝 SOC 报告由 QSA 决定，他有权拒绝依赖这些报告并自行执行审计。