Il test n. 1 che posso trovare è quello di trovare un exploit zero-day nel loro codice (di solito non molto difficile con le estensioni Magento), riportare solo il danno risultante di un exploit finto al loro team di sicurezza (senza fornire alcuna indicazione di quale parte del codice è vulnerabile) e avvia il cronometro, perché è esattamente ciò che accadrà quando il tuo sito viene violato. Quando il loro personale di supporto richiede l'accesso FTP e mysql globale, rifiuta educatamente affermando che è in violazione del PCI-DSS e si offre di consentire loro di avere accesso in sola lettura al repository del codice sorgente.
Il test n. 2 che eseguo è di richiamare il fornitore e prenderli alla sprovvista. Chiedi loro che tipo di test comportamentali / di unità eseguono, quale sistema di controllo del codice sorgente usano, su quali versioni di PHP testano, su quali versioni di Magento sono testate, su quali server Web sono testati, indipendentemente dal fatto che utilizzino o meno il browser -stack per testare componenti front-end, ecc ... Se il venditore non sa di cosa stai parlando, tace o vuole "ottenere un esperto per inviarti una risposta", corri come l'inferno perché molto probabilmente usano i numeri i file zip per "controllo versione" e correggono i bug solo 3 mesi dopo che i loro clienti li segnalano.
Parlando del PCI-DSS, anche tutte le modifiche al sistema devono avere una strategia di inversione. Con i moduli che aggiungono colonne non annullabili alle tabelle principali, ciò diventa quasi impossibile pur mantenendo una strategia di inversione che avrebbe superato un controllo. Esegui da qualsiasi modulo che causerà problemi (leggi: Errori SQL) quando disabilitato.
PCI-DSS v3
6.4.5.4 Procedure di back-out.
Verificare che siano preparate procedure di back-out per ogni modifica campionata.
Per ogni modifica, dovrebbero esserci procedure di back-out documentate nel caso in cui la modifica abbia esito negativo o influisca negativamente sulla sicurezza di un'applicazione o di un sistema, per consentire il ripristino del sistema al suo stato precedente
Questo, oltre alle altre risposte. IMO dovrebbe esserci un muro di vergogna per alcune delle stronzate pericolose che sono state generate su questa piattaforma.