Мы должны соответствовать требованиям PCI-DSS, чтобы мы могли обрабатывать клиентские платежи через наш веб-сайт и в офисе. Наша сеть состоит из одного сервера SBS 2008 и 10 рабочих станций, подключенных к одной локальной сети на коммутаторе Dell. Интернет-маршрутизатор - DrayTek 2820n.
Нужно ли что-то делать с нашей существующей сетью, чтобы она соответствовала PCI-DSS?
Передайте это на аутсорсинг. Серьезно, если вы еще не знаете PCI, вы возненавидите его к тому времени, когда узнаете его. В таком маленьком офисе нет оснований для обработки платежей внутри компании. Используйте стороннего провайдера (например, PayPal, у вашего банка также могут быть варианты). Сертификация вашей сети, скорее всего, будет стоить вам руки и ноги. Использование сторонних сервисов будет стоить вам немного дороже для каждой транзакции, но точкой безубыточности будут тысячи транзакций (или больше).
Да, многое еще предстоит сделать. Прежде всего, список стандартов безопасности здесь: https://www.pcisecuritystandards.org/security_standards/
Весь этот список применим ко всем средам размера. Единственное, что меняется в зависимости от того, сколько номеров кредитных карт вы обрабатываете и являетесь ли вы поставщиком услуг для других розничных магазинов, - это уровень аудита, который необходимо проводить на регулярной основе.
Если вы никогда раньше не проходили через этот процесс и ваша среда не требует стороннего аудита, я рекомендую пройти хотя бы один аудит в первый раз, чтобы получить некоторую уверенность в том, что вы следовали рекомендациям, перечисленным в разделе «Безопасность». Стандарты документов.
По возможности я настоятельно рекомендую избегать требований соответствия PCI, используя сторонний платежный процессор. Полное соблюдение - очень дорогое мероприятие.