Como se ha mencionado varias veces, hay muchas variables a considerar. Cosas como: ¿estás tratando de ser compatible con PCI DSS o necesitas ser compatible con PA DSS? Si solo se trata de PCI DSS, verás el SAQ D que se puede encontrar aquí: (PCI DSS, PA-DSS, estándares PED, pautas de cumplimiento y más) ¡Eso es monstruoso!
Entonces, la siguiente pregunta es ¿cuántos de los requisitos de SAQ D ya tienes? ¿Cuánto puede cubrir con recursos internos? ¿Cuánto necesitará externalizar?
Si es principalmente interno, ¿cuántas personas trabajarán en él (costo de mano de obra) y qué nuevo hardware y software se requerirá (costo de bienes)? La cantidad de personas que tiene trabajando en él y su nivel de familiaridad con las Pautas de cumplimiento de PCI también determinarán el período de tiempo.
- ¿Cuál es la mejor historia sobre la guerra cibernética indio-paquistaní que has escuchado?
- ¿Qué tan grave es la exposición con el algoritmo de cifrado y descifrado AES 256?
- ¿Qué amenazas de seguridad existen para los desarrolladores web front-end? ¿Cómo se previenen?
- Pregunta hipotética: si configuro una cuenta de correo electrónico en Noruega y estoy en los Estados Unidos y se piratea la cuenta de correo electrónico, ¿quién tiene jurisdicción?
- ¿Crees que se puede confiar en CafeBazaar en términos de seguridad?
Si está subcontratando, los costos pueden variar enormemente. Una vez más, dependiendo de cuánto esté subcontratando, cuáles son sus métodos de facturación, de cuántas maneras acepta tarjetas de crédito (en persona, por teléfono, en línea), cuántos contratistas trabajarán en ella, cuál es el nivel de experiencia de esos contratistas es, etc.
Puede ser que formes parte de una gran organización que pueda apuntalar fácilmente los recursos y la mano de obra para lograr esto sin esfuerzo. Pero también tenga en cuenta que debe volver a verificar esto cada año. Y las regulaciones de cumplimiento de PCI cambian de vez en cuando. Si realmente es una organización grande, puede considerar contratar a alguien a tiempo completo para que se encargue de su cumplimiento y realice un seguimiento de los cambios a medida que Visa y Mastercard los hagan. Si no es una organización grande, mi consejo sería reducir su alcance a través de un proveedor de pagos compatible con PCI. Es casi imposible pensar que un proveedor de pagos que le brinde mitigación de cumplimiento de PCI será más costoso que tratar de cumplir con SAQ D por su cuenta.