AWS'de Seviye 1 PCI uyumluluğu sağlayan var mı?

9

Kenara AWS tarafından yayınlanan Tüm SSS, belge ve ifadeler, herhangi Seviye 1 tüccar vermedi aslında ulaşmak henüz AWS üzerinde PCI uyumu? Bazı hizmetlerimizi EC2 / VPC'ye taşımayı değerlendiriyoruz, ancak denetçimiz, diğer müşterileri uyum sağlamaya çalışırken AWS'nin işbirliği yapmadığını ve bunun yerine Rackspace'e gitmek zorunda olduğunu söylüyor. Karşılaştıkları sorunlar,

  • AWS, AWS'nin kendi PCI denetiminde değerlendirilen ayrıntılı kontrol listesi sağlamaz ve denetçinin AWS tarafından hangi öğelerin kapsandığını ve müşterinin sorumluluğunda olduğunu işaretlemesini imkansız hale getirir.
  • AWS, hipervizörün nasıl değerlendirildiğini ve kiracı izolasyonunu sağlamak için hangi testlerin gerçekleştirildiğini netleştirmiyor

Güncelleme: Bu soru ilk olarak StackExchange'te sorulmuştur, ancak bu site için uygun olmadığı düşünülmüştür /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

amazon-ec2  amazon-web-services  pci-dss 
Boris Slobodin
kaynak

Yanıtlar:

4

AWS'nin problemini kendiniz çözmeye çalışmamanızı öneririm.

Denetçinize PCI uyumluluğuna ilişkin AWS'nin SAS 70 Tip 2 denetim raporunu kabul edip etmeyeceğini sorun: bu, harici bir denetçinin AWS istemcileriyle ilgili PCI güvenliği için AWS'yi denetlediği ve bir rapor yayınladığı anlamına gelir. Daha sonra denetçiniz temelde lastikleri takar. Denetçi bu raporu kabul etmek istemiyorsa, yönetimine neden olmadığını ve AICPA kurallarına uyup uymadıklarını sorun (aşağıdaki Gotchas'a bakın).

AWS böyle bir standart denetim sürecine girmeye istekli değilse, temel olarak PCI Uyumluluğu => kredi kartı işlemeyle ilgili tüm pazar konumlarını baltalıyorlar, bu yüzden işbirliği yapmayacaklarını hayal edemiyorum. Örneğin , SAS70 denetimleri ve SAS70 üzerinde Wikipedia sağlayan dört büyük muhasebeci şirketten birine bakın.

Gotchas: SAS 70 tip 2 tam olarak neyin denetleneceğini belirtmez, bu nedenle denetçinizin denetimin kapsamını önceden kabul ettiğinden emin olmanız gerekir: Denetçinin söz konusu olduğu 2 konu. Not: SAS 70 tip 2, bir süredir var olan bir ABD denetim standardıdır, bunun için güncellenmiş versiyonlar / standartlar olabilir. Başka bir ülkedeyseniz, başka gereksinimler de olabilir, ancak SAS 70 tip 2 uluslararası olarak çok yaygın olarak kullanılmaktadır.

Ancak, denetçinizin aslında AWS hakkında bir SAS 70 tip 2 raporu olması ve kapsamın yeterince geniş olmadığını veya denetimin kötü bir şekilde yapıldığını veya sonuçta ortaya çıkan bulguların / sonuçların olumsuz olduğunu düşünüyor olabilir.

reiniero
kaynak
1
Denetçi, AWS tabanlı altyapımızın denetimine bile devam edebilmeleri için, QSA tarafından PCI denetimi ve SAS 70 tip 2 için değerlendirilen ayrıntılı bir kontrol listesi görmeleri gerektiğini açıkça belirtti. bu durum. Ben kendinizle aynı görüşteyim, çünkü Amazon kendini açıkça PCI dostu bir sağlayıcı olarak konumlandırmaya çalışıyor, ancak denetçinin bakış açısından, geçmişte onlardan bilgi almaya çalışan QSA ile işbirliği yapmamışlardı. az söylemek bana oldukça kafa karıştırıcı. Birisinin başarılı olmasını umuyorum, bu yüzden bu soru.
Boris Slobodin
Tamam, yeterince açık. Yine de, istek geçerli / makul olduğunda AWS'nin işbirliği yapmayacağı ve SAS70'in geçerli olmayacağı garip, ama ben bir PCI uzmanı değilim ... Umarım istediginiz gibi kimin uyum sağladığını söyler.
reiniero
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.