Có ai đạt được sự tuân thủ PCI cấp 1 trên AWS chưa?


9

Tất cả các Câu hỏi thường gặp, tài liệu và tuyên bố do AWS xuất bản sang một bên, có bất kỳ thương gia Cấp 1 nào thực sự đạt được sự tuân thủ PCI trên AWS chưa? Chúng tôi đang đánh giá việc chuyển một số dịch vụ của chúng tôi sang EC2 / VPC, nhưng kiểm toán viên của chúng tôi nói rằng AWS đã không hợp tác khi các khách hàng khác của họ đang cố gắng đạt được sự tuân thủ và thay vào đó phải đến Rackspace. Các vấn đề họ gặp phải là,

  • AWS không cung cấp danh sách kiểm soát được chia thành từng khoản được đánh giá trong kiểm toán PCI riêng của AWS, khiến kiểm toán viên không thể đánh dấu mục nào được AWS bảo vệ và trách nhiệm của khách hàng là gì
  • AWS không làm rõ cách thức nhà ảo thuật được đánh giá và thử nghiệm nào được thực hiện để đảm bảo sự cô lập của người thuê nhà

Cập nhật: Câu hỏi này ban đầu được hỏi trên StackExchange, nhưng đã được bình chọn là không phù hợp với trang web đó /programming/6851259/has-anyone-achpered-level-1-pci-compliance-on-aws

Câu trả lời:


4

Tôi khuyên bạn không nên tự mình giải quyết vấn đề của AWS.

Hỏi kiểm toán viên của bạn xem anh ta có chấp nhận báo cáo kiểm toán loại 70 của SAS 70 về tuân thủ PCI hay không: điều này có nghĩa là kiểm toán viên bên ngoài kiểm toán AWS về bảo mật PCI liên quan đến các máy khách AWS và đưa ra báo cáo. Kiểm toán viên của bạn sau đó về cơ bản cao su nó. Nếu kiểm toán viên không sẵn sàng chấp nhận báo cáo này, hãy hỏi quản lý của anh ta tại sao anh ta không và liệu họ có tuân thủ các quy tắc AICPA hay không (mặc dù vậy, hãy xem Gotchas bên dưới).

Nếu AWS không sẵn sàng trải qua quy trình kiểm toán tiêu chuẩn như vậy, về cơ bản họ sẽ làm suy yếu toàn bộ vị trí thị trường của họ về Tuân thủ PCI => xử lý thẻ tín dụng, vì vậy tôi không thể tưởng tượng họ sẽ không hợp tác. Xem ví dụ: một trong năm ... bốn công ty kế toán cung cấp kiểm toán SAS70Wikipedia trên SAS70

Gotchas: SAS 70 loại 2 không chỉ định chính xác những gì cần kiểm toán, do đó bạn phải đảm bảo kiểm toán viên của bạn đồng ý với phạm vi kiểm toán trước: 2 vấn đề mà kiểm toán viên là một trường hợp cụ thể. Lưu ý: SAS 70 loại 2 là một tiêu chuẩn kiểm toán của Hoa Kỳ đã có từ lâu, có thể có các phiên bản / tiêu chuẩn được cập nhật cho việc này. Nếu bạn ở một quốc gia khác, có thể có các yêu cầu khác, nhưng SAS 70 loại 2 được sử dụng rất rộng rãi trên phạm vi quốc tế.

Tuy nhiên, có thể là kiểm toán viên của bạn thực sự có báo cáo loại 70 của SAS về AWS và cho rằng phạm vi không đủ rộng hoặc kiểm toán đã được thực hiện kém hoặc kết quả / kết quả là âm tính.


1
Kiểm toán viên đã tuyên bố rõ ràng rằng để họ thậm chí tiến hành kiểm toán cơ sở hạ tầng dựa trên AWS của chúng tôi, họ cần phải xem danh sách kiểm soát được ghi thành từng khoản do QSA đánh giá cho kiểm toán PCI và loại 70 70 sẽ không được áp dụng trong trường hợp này. Tôi cũng có cùng quan điểm với chính mình, rằng Amazon rõ ràng cố gắng định vị mình là nhà cung cấp thân thiện với PCI, nhưng từ quan điểm của kiểm toán viên, họ đã không hợp tác với QSA khi cố gắng lấy thông tin từ họ trong quá khứ, đó là khá khó hiểu với tôi để nói rằng ít nhất. Tôi hy vọng rằng ai đó đã thành công, do đó câu hỏi này.
Boris Slobodin

Ok, đủ rõ ràng. Một điều lạ là AWS sẽ không hợp tác nếu yêu cầu hợp lệ / hợp lý và rằng SAS70 sẽ không được áp dụng, nhưng tôi không phải là chuyên gia về PCI ... Hy vọng ai đó sẽ có được sự tuân thủ, như bạn đã hỏi.
Reviero
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.