Tes # 1 yang bisa saya buat adalah menemukan eksploitasi nol hari dalam kode mereka (biasanya tidak terlalu sulit dengan ekstensi Magento), melaporkan hanya kerusakan yang dihasilkan dari eksploit tiruan kepada tim keamanan mereka (tidak memberikan indikasi yang bagian dari kode rentan), dan mulai stop-watch - karena inilah yang akan terjadi ketika situs Anda diretas. Ketika staf pendukung mereka meminta FTP global dan akses mysql, tolak dengan sopan yang menyatakan bahwa itu melanggar PCI-DSS dan menawarkan untuk membiarkan mereka memiliki akses hanya baca ke repositori kode sumber Anda.
Tes # 2 yang saya lakukan adalah untuk memanggil vendor dan menangkap mereka lengah. Tanyakan kepada mereka tes perilaku / unit apa yang mereka lakukan, sistem kontrol sumber apa yang mereka gunakan, versi PHP mana yang mereka uji, versi Magento mana yang diuji, server web mana yang diuji, apakah mereka menggunakan browser atau tidak -tumpukan untuk menguji komponen front-end, dll ... Jika vendor tidak tahu apa yang Anda bicarakan, bungkam atau ingin "meminta ahli untuk mengirimi Anda email kembali", jalankan seperti neraka karena kemungkinan besar mereka menggunakan nomor zip file untuk "kontrol versi" dan hanya memperbaiki bug 3 bulan setelah pelanggan mereka melaporkannya.
Berbicara tentang PCI-DSS, semua modifikasi sistem juga diharuskan memiliki strategi pengembalian. Dengan modul yang menambahkan kolom yang tidak dapat dibatalkan ke tabel inti, ini menjadi hampir mustahil sambil tetap mempertahankan strategi pengembalian yang akan lulus audit. Jalankan seperti neraka dari modul apa pun yang akan menyebabkan masalah (baca: Kesalahan SQL) saat dinonaktifkan.
PCI-DSS v3
6.4.5.4 Prosedur mundur.
Verifikasi bahwa prosedur mundur disiapkan untuk setiap perubahan sampel.
Untuk setiap perubahan, harus ada prosedur mundur yang didokumentasikan jika perubahan gagal atau berdampak buruk pada keamanan aplikasi atau sistem, untuk memungkinkan sistem dikembalikan ke keadaan semula.
Ini, di samping jawaban lainnya. IMO harus ada dinding malu untuk beberapa omong kosong berbahaya yang telah muncul di platform ini.