5、安全与合规性：从数据到应用的全面保障

安全与合规性：从数据到应用的全面保障

1. 安全评估问卷

安全评估问卷虽然详尽得让人有些应接不暇，但严格遵循它能确保更好的迁移效果和更安全的终端用户体验。问卷分为几个部分，大部分与之前确定的领域架构相契合。问卷从数据安全开始，接着是应用程序安全，最后是基础设施安全。虽然没有专门的部署安全部分，但为了安全起见，在评估中还是要考虑到这一点。

2. 安全控制

在安全和合规领域，安全控制是避免、检测、对抗或最小化对物理财产、信息、计算机系统或其他资产的安全风险的保障措施或对策。拥有与更广泛规范下的特定要求相对应的控制措施，表明了遵守安全要求的意图。了解这些规范以及适用的要求，是进行初步评估和差距分析时迈向成功的第一步。

3. PCI DSS标准

在零售领域的经验表明，支付卡行业数据安全标准（PCI DSS）3.0版对于确保在各种不同交易场景中保护消费者支付信息至关重要。通常，选择经批准的扫描供应商和合格的安全评估员来审计安全控制措施的实施是有要求的。由于属于小型商家类别，Andromeda Games可以通过自我评估来确保合规性。以下是Andromeda Games的自我评估问卷（SAQ）：
| SAQ | 描述 | 响应（Y/N） | 缓解措施 | 完成日期 |
| — | — | — | — | — |
| A | 未当面交易的商家（电子商务或邮购/电话订购），已将所有持卡人数据功能完全外包给符合PCI DSS的第三方服务提供商，商家系统或场所内没有电子存储、处理或传输任何持卡人数据。不适用于面对面交易渠道。 | Y | | |
| A - EP | 电子商务商家，将所有支付处理外包给经过PCI