L'utilizzo di host dedicati AWS o di istanze dedicate sarà conforme ai requisiti PCI DSS?
Si prega di fare riferimento alla sezione di confronto:
link
Grazie.
Sì, puoi utilizzare un host ec2 dedicato, ma non è necessario, puoi semplicemente utilizzare il servizio ec2 standard come parte della tua architettura. C'è un elenco di tutti i servizi che AWS fornisce per la conformità PCI, aiutandoti a ridurre il carico, qui .
Guarderei usando un servizio completamente gestito come Lambda se stai costruendo qualcosa di nuovo, ti farà risparmiare un po 'di fatica. Inoltre, puoi consultare l'architettura suggerita qui .
Se accedi alla console AWS e quindi al gestore di Artifact, puoi scaricare il documento PCI che descrive ciò che AWS si prende cura di te.
Se stai creando un gateway di pagamento, ho paura di una curva di apprendimento PCI molto ripida prima di te. Vale la pena parlare con un QSA, ti farà risparmiare un sacco di tempo.
Sulla base del tuo collegamento un server dedicato potrebbe essere sufficiente per assicurare la conformità PCI, ma è tutt'altro che sicuro.
Ovunque i flussi di dati delle carte rientrino nell'ambito di applicazione. Se scorre attraverso un server in un datacentre l'intero data center è in ambito.
Il controllo dell'accesso fisico al data center fa parte della conformità, così come garantisce un accesso appropriato alla macchina reale e quali dati possono essere scaricati in un registro e chi può leggerlo.
AWS potrebbe essere in grado di garantire che nessuno al di fuori della tua organizzazione possa accedervi ma non è possibile. Ho lavorato per un'azienda certificata PA-DSS con un centro dati di terze parti, ma l'host VM effettivo era nostro e il data center è stato verificato. PCI-DSS è forse un po 'più semplice di PA-DSS in quanto puoi spesso attestare che sei conforme piuttosto che essere controllato, ma ti stai ancora affidando ad AWS per una parte della tua conformità. Questo dovrebbe essere supportato contrattualmente.
Leggi altre domande sui tag pci-dss