Тест №1, який я можу придумати, - це знайти в їхньому коді нульовий день експлуатації (як правило, не дуже складно з розширеннями Magento), повідомити лише про отриманий збиток від макетного подвигу своїй команді безпеки (не вказуючи, що саме частина коду є вразливою), і починайте секундомір - адже це саме те, що відбудеться, коли ваш сайт буде зламаний. Коли їхній персонал служби підтримки просить отримати доступ до глобального FTP та mysql, ввічливо відмовляють, заявляючи, що це порушує PCI-DSS, і пропонують їм дозволити доступ лише до читання до вашого сховища вихідного коду.
Тест №2, який я виконую, полягає в тому, щоб зателефонувати продавцю і застати їх не охороняти. Запитайте їх про те, яку поведінкову / одиничну перевірку вони роблять, яку систему управління джерелами вони використовують, які версії PHP вони тестують, які версії Magento тестуються, на яких веб-серверах тестуються, користуються вони чи ні браузер -стак для тестування фронтальних компонентів тощо ... Якщо продавець не знає, про що ви говорите, замовчує або хоче "отримати експерта, який вам надішле електронну пошту", біжіть як пекло, оскільки вони, швидше за все, використовують нумеровані zip-файли для "контролю версій" і виправляти помилки лише 3 місяці після того, як їх клієнти повідомляють про них.
Якщо говорити про PCI-DSS, всі модифікації системи також повинні мати стратегію реверсії. З модулями, що додають стовпчики до нульових стовпців до основних таблиць, це стає майже неможливим при збереженні стратегії реверсії, яка пройде аудит. Запускайте, як пекло, з будь-яких модулів, які спричинять проблеми (читайте: помилки SQL) при відключенні.
PCI-DSS v3
6.4.5.4 Процедури зворотного виходу.
Переконайтесь, що підготовлені процедури зворотного виходу для кожної вибірки.
Для кожної зміни повинні бути задокументовані процедури зворотного виходу, якщо зміна не спрацьовує або негативно впливає на безпеку програми чи системи, щоб дозволити відновлення системи до попереднього стану
Це, крім інших відповідей. ІМО має бути стіною сорому за деякі небезпечні лайно, що породили цю платформу.