Ciao a tutti,


Un mio cliente sta valutando lo sviluppo di un progetto di e-commerce.

La "particolarità" è che le carte di credito dei clienti verranno registrante nel DB dell'applicazione e non passeranno solamente alla banca.

Per fare questa cosa ovviamente ci sono tutta una serie di standard da rispettare e non è un problema,ma ho visto che serve una certificazione chiamata PCI DSS che permette di mantenere questi codici.

Quello che non sono riuscito a trovare e di cui vi chiedo un aiuto è:

1. La certificazione basta che la abbia la server farm dove risiedono i dati o deve averla anche il proprietario dell'applicazione?

2. E' un vincolo di legge avere tale certificazione oppure si può prenderla anche dopo l'avviamento del progetto?

3. Qualcuno ha mai affrontato tale problematica e come eventualmente l'ha risolta?

Ciao e a presto

Simone