Хтось домігся відповідності PCI рівня 1 на AWS?

9

З усіма поширеними питаннями, документами та заявами, опублікованими AWS, окрім того, чи дійсно будь-який продавець 1-го рівня насправді досягнув відповідності PCI щодо AWS? Ми оцінюємо перенесення деяких наших послуг до EC2 / VPC, але наш аудитор каже, що AWS не співпрацював, коли інші клієнти намагалися досягти відповідності, і замість цього потрібно було перейти до Rackspace. Питання, з якими вони стикалися, були:

  • AWS не надає деталізований перелік контролів, оцінених під час власного аудиту PCI AWS, що робить неможливим для аудитора відмітити, які елементи покриваються AWS та які є відповідальністю клієнта
  • AWS не уточнює, як оцінювали гіпервізор та які тести проводили для забезпечення ізоляції орендарів

Оновлення: спочатку це питання було задано на StackExchange, але його було визнано невідповідним для цього веб- сайту /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

amazon-ec2  amazon-web-services  pci-dss 
Борис Слободін
джерело

Відповіді:

4

Я б запропонував не намагатися вирішити проблему AWS самостійно.

Запитайте свого аудитора, чи прийме він аудиторський звіт SAS 70 Type 2 AWS щодо відповідності PCI: це означає, що зовнішній аудитор проводить аудит AWS щодо безпеки PCI щодо клієнтів AWS та видає звіт. Тоді ваш аудитор, як правило, резиновий. Якщо аудитор не бажає прийняти цей звіт, запитайте його керівництво, чому він ні, і чи дотримуються вони правил AICPA (див. Хотчас нижче).

Якщо AWS не бажає проходити такий стандартний аудиторський процес, вони, в основному, підривають всю їхню ринкову позицію щодо PCI Compliance => обробка кредитних карт, тому я не можу уявити, що вони не співпрацюють. Дивіться, наприклад, одну з великих п'яти ... е-чотири бухгалтерії, що надають аудит SAS70 та Вікіпедію щодо SAS70

Поняття: SAS 70 типу 2 не вказує, що саме підлягає аудиту, тому ви повинні переконатись, що ваш аудитор заздалегідь погоджується зі сферою аудиту: два питання, які стосуються аудитора. Примітка: SAS 70 type 2 - стандарт аудиту США, який існує вже деякий час, для цього можуть бути оновлені версії / стандарти. Якщо ви перебуваєте в іншій країні, можуть бути інші вимоги, але SAS 70 type 2 дуже широко використовується на міжнародному рівні.

Однак, можливо, ваш аудитор фактично має звіт SAS 70 типу 2 щодо AWS і вважає, що сфера застосування недостатньо обширна, або аудит був зроблений погано, або отримані результати / висновки були негативними.

reiniero
джерело
1
Аудитор чітко заявив, що для того, щоб вони навіть продовжували аудит нашої базованої на AWS інфраструктури, їм потрібно переглянути деталізований перелік контролю, оцінений QSA для аудиту PCI, і SAS 70 type 2 не застосовуватиметься в ця справа. Я дотримуюся такої ж думки, як і ви, що Amazon чітко намагається позиціонувати себе як постачальника послуг PCI, але, з точки зору аудитора, вони не співпрацювали з QSA, намагаючись отримати інформацію від них у минулому, що є мені досить спантеличено, щонайменше. Я сподіваюся, що комусь це вдалося, звідси це питання.
Борис Слободін
Гаразд, досить ясно. І все-таки дивно, що AWS не співпрацює, якщо запит є дійсним / правдоподібним, і SAS70 не застосовуватиметься, але я не експерт з PCI ... Сподіваюся, хтось задзвенить у досягненні відповідності, як ви просили.
reiniero
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.