Memo di scoping del CDE
Mappa scritta del cardholder data environment: ogni sistema che memorizza/elabora/trasmette PAN, ogni sistema connesso, ogni giustificazione di esclusione dallo scope. Decisione sull'idoneità SAQ e le modifiche architetturali per spostarsi verso SAQ più semplici.
Rete e segmentazione
Standard firewall Req 1, hardening Req 2, VPC/subnet dedicati per il CDE con ingress/egress documentati, jump host con MFA, test di segmentazione ai sensi del Req 11.4.5 (annuale per i merchant, ogni 6 mesi per i service provider).
Cifratura e gestione delle chiavi
Archiviazione PAN Req 3 con crittografia robusta (AES-256, validato FIPS 140-2/3), trasmissione Req 4 TLS 1.2+ con cipher suite forti, ciclo di vita delle chiavi ai sensi del Req 3.7, split knowledge e dual control per i custodi delle chiavi, cifratura envelope con KMS.
Sviluppo sicuro
SDLC sicuro Req 6: threat modelling, formazione al codice sicuro, code review, integrazione SAST/DAST, scansione dipendenze, workflow di change management, test OWASP Top 10 e controlli di integrità degli script web v4.0.1 (Req 6.4.3 + 11.6.1).
Logging e monitoraggio
Audit logging Req 10 con revisione automatizzata dei log v4.0.1 (Req 10.4.1.1), retention 1 anno (3 mesi immediatamente accessibili), FIM (Req 11.5), IDS/IPS (Req 11.5.1), monitoraggio integrità dei file e workflow di alerting verso la reperibilità.
Operazioni SAQ / RoC
Completamento SAQ (A, A-EP, B, B-IP, C, C-VT, D, P2PE) o supporto RoC, firma AOC, raccordo con il QSA, supervisione scansioni ASV trimestrali (Req 11.3.2), penetration test annuale (Req 11.4.3), analisi del rischio mirate per ogni approccio personalizzato v4.0.1.