I agree. It certainly is a choice to be able to firewall and there are many other alternatives, but in the long run, to run a good, busy ecommerce site, you need to think beyond the just passing report.<br><br>In my case, I could have taken the mail and mysql and put them on the same server as Apache, but in hindsight, I ended up with a really good setup that is a lot harder to crack and a much more appreciative customer base.<br>
<br>For the case of the cleaning company...I can only ask...Why!?  No on-line transactions?  They had to have been pushed, lied to and just about any other high pressure sales tactic to make them go through what they went through.<br>
<br>Doug<br><br> <br><br><div class="gmail_quote">On Sun, May 16, 2010 at 4:34 PM, Chris Gebhardt - VIRTBIZ Internet <span dir="ltr"><<a href="mailto:cobaltfacts@virtbiz.com">cobaltfacts@virtbiz.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Doug Harvey wrote:<br>
> Bottom line...I had to move my mail servicing to another server...The<br>
> database had to be on another server...Three servers total to run an<br>
> effective e-commerce site.<br>
<br>
Well... strictly speaking, this isn't necessarily true.   You see, their<br>
testing originates from a fairly narrow IP range.  At least, that's the<br>
case that I've witnessed with a couple of the firms.  Load that into<br>
your firewall, and *poof*.<br>
<br>
Not that I'm suggesting that's your answer to PCI compliance.<br>
<br>
We had one case with a shared hosting customer who did NO online<br>
transactions.  They're a cleaning company with a static website.  Their<br>
bank insisted on the PCI compliance testing (at their expense).  The<br>
process quite literally brought my customer to tears.  She was so upset<br>
and the bank's testing representative (an outsourced company) had a<br>
particularly bad demeanor.  After 3 years of the nonsense (annual<br>
reviews!) they took my advice and changed banks.   3 years later than I<br>
would have pulled that plug, but better late than never I suppose.<br>
<br>
Anyhow, if you just want the testing report to pass, you can make that<br>
happen easily enough.  Don't misunderstand me: I'm not advocating.  Just<br>
mentioning.  It all depends on your goals.<br>
<br>
--<br>
Chris Gebhardt<br>
VIRTBIZ Internet Services<br>
Access, Web Hosting, Colocation, Dedicated<br>
<a href="http://www.virtbiz.com" target="_blank">www.virtbiz.com</a> | toll-free (866) 4 VIRTBIZ<br>
_______________________________________________<br>
Blueonyx mailing list<br>
<a href="mailto:Blueonyx@blueonyx.it">Blueonyx@blueonyx.it</a><br>
<a href="http://www.blueonyx.it/mailman/listinfo/blueonyx" target="_blank">http://www.blueonyx.it/mailman/listinfo/blueonyx</a><br>
</blockquote></div><br>