Qualcuno ha ottenuto la conformità PCI su AWS?

25

Tutte le domande frequenti, i documenti e le dichiarazioni pubblicati da AWS a parte, un fornitore di servizi di livello 1 o un fornitore di servizi ha effettivamente raggiunto la conformità PCI su AWS? Stiamo valutando la possibilità di spostare alcuni dei nostri servizi in EC2 / VPC, ma il nostro revisore afferma che AWS non aveva collaborato quando gli altri clienti cercavano di ottenere la conformità e invece dovevano andare su Rackspace. I problemi in cui si sono verificati sono stati,

  • AWS non fornisce l'elenco dettagliato dei controlli valutati nell'audit PCI di AWS, rendendo impossibile per il revisore la valutazione di quali elementi sono coperti da AWS e che sono di responsabilità del cliente
  • AWS non sta chiarendo come è stato valutato l'hypervisor e quali test sono stati eseguiti per garantire l'isolamento del tenant
posta Boris Slobodin 28.07.2011 - 17:26
fonte

1 risposta

16

Amazon ha un rapporto SAS 70 di tipo II. Richiedere una copia dettagliata di questo dovrebbe mostrare tutti i controlli che hanno in atto. Può darsi che la gente stia chiedendo ad Amazon le domande sbagliate. Come nota rapida, il test SAS 70 in futuro verrà definito SOC: una di queste peculiarità del settore contabile.

Specialmente con un'azienda di dimensioni Amazon, si guarda al rapporto, si vede che è ragionevole e si dichiara che hanno fatto la dovuta diligenza. In termini molto vaghi, Amazon e il loro revisore dei conti PCI hanno quindi una sorta di obbligo fiduciario nel caso di un whoopsie-daisy da parte loro.

Vedi anche:

Aggiornamento: l'obiettivo di controllo rilevante per te come cliente è questo: 2.4 I provider di hosting devono proteggere l'ambiente ospitato di ciascuna entità e dati. Questi provider devono soddisfare requisiti specifici come dettagliato in Appendice A: "Applicabilità PCI DSS per Provider di hosting. "

Almeno nella mia interpretazione, Amazon deve principalmente gestire i quattro controlli specificati in A.1. Ce ne sono molti altri che non contano e alcuni lo fanno. Non so che cosa possa ottenere il tuo auditor, ma come ho capito senza documentazione di fronte a me: Amazon è passato senza commenti. Ciò significa che sono stati riesaminati indipendentemente per soddisfare tutti questi obiettivi. Con questo in mente, il resto del carico è sulla tua azienda per soddisfare tutto ciò che è rilevante per ciò che è all'interno dell'istanza.

I revisori non hanno sempre ragione. Potrebbe essere utile coinvolgere un altro revisore. Potresti scoprire che ho torto (anche se sono sicuro di averlo capito). Almeno non hai questo: link

    
risposta data 31.07.2011 - 23:35
fonte

Leggi altre domande sui tag