มีใครได้รับการปฏิบัติตาม PCI ระดับ 1 ใน AWS หรือไม่


9

เอกสารคำถามและคำแถลงทั้งหมดที่เผยแพร่โดย AWS นั้นผู้ค้าระดับ 1 ใด ๆได้รับการปฏิบัติตาม PCI บน AWS หรือไม่ เรากำลังประเมินการย้ายบริการบางส่วนของเราไปยัง EC2 / VPC แต่ผู้ตรวจสอบของเรากำลังบอกว่า AWS ไม่ได้ให้ความร่วมมือเมื่อลูกค้ารายอื่นของพวกเขาพยายามที่จะปฏิบัติตามกฎระเบียบและต้องไปที่ Rackspace แทน ปัญหาที่พวกเขาพบคือ

  • AWS ไม่ได้จัดทำรายการการควบคุมแยกการประเมินในการตรวจสอบ PCI ของ AWS ทำให้ผู้ตรวจสอบไม่สามารถทำเครื่องหมายรายการที่ AWS ครอบคลุมและเป็นความรับผิดชอบของลูกค้า
  • AWS ไม่ได้อธิบายวิธีการประเมินไฮเปอร์ไวเซอร์และการทดสอบใดที่ดำเนินการเพื่อให้แน่ใจว่ามีการแยกผู้เช่า

อัปเดต:คำถามนี้ถูกถามครั้งแรกใน StackExchange แต่ถูกโหวตว่าไม่เหมาะสมสำหรับไซต์นั้น/programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

คำตอบ:


4

ฉันขอแนะนำไม่พยายามแก้ปัญหาของ AWS ด้วยตัวเอง

ถามผู้สอบบัญชีของคุณว่าเขาจะยอมรับรายงานการตรวจสอบ SAS 70 Type 2 ของ AWS เกี่ยวกับการปฏิบัติตาม PCI หรือไม่นั่นหมายความว่าผู้ตรวจสอบบัญชีภายนอกจะตรวจสอบ AWS เพื่อความปลอดภัย PCI ที่เกี่ยวข้องกับลูกค้า AWS และออกรายงาน ผู้ตรวจสอบบัญชีของคุณโดยทั่วไปจะทำการยางติดมัน หากผู้สอบบัญชีไม่ยอมรับรายงานนี้ให้ถามผู้บริหารของเขาว่าทำไมเขาถึงไม่ทำและปฏิบัติตามกฎของ AICPA (ดูที่ Gotchas ด้านล่าง)

หาก AWS ไม่เต็มใจที่จะผ่านกระบวนการตรวจสอบมาตรฐานพวกเขาจะทำลายฐานะทางการตลาดทั้งหมดของพวกเขาเกี่ยวกับ PCI Compliance => การประมวลผลบัตรเครดิตดังนั้นฉันจึงไม่สามารถจินตนาการได้ว่าพวกเขาจะไม่ร่วมมือกัน ดูตัวอย่างเช่นหนึ่งในห้า บริษัท ใหญ่ ... eeh บริษัท บัญชีสี่แห่งที่ให้บริการการตรวจสอบ SAS70และ Wikipedia บน SAS70

Gotchas: SAS 70 ประเภท 2 ไม่ได้ระบุสิ่งที่จะตรวจสอบดังนั้นคุณต้องตรวจสอบให้แน่ใจว่าผู้สอบบัญชีของคุณเห็นด้วยกับขอบเขตของการตรวจสอบล่วงหน้า: 2 ประเด็นที่ผู้สอบบัญชีเป็นประเด็น หมายเหตุ: SAS 70 ประเภท 2 เป็นมาตรฐานการตรวจสอบของสหรัฐอเมริกาที่มีมาระยะหนึ่งแล้วอาจมีรุ่น / มาตรฐานที่อัปเดตสำหรับสิ่งนี้ หากคุณอยู่ในประเทศอื่นอาจมีข้อกำหนดอื่น ๆ แต่ SAS 70 แบบ 2 ใช้กันอย่างแพร่หลายในระดับสากล

อย่างไรก็ตามอาจเป็นไปได้ว่าผู้ตรวจสอบบัญชีของคุณมีรายงาน SAS 70 แบบ 2 บน AWS และคิดว่าขอบเขตไม่ครอบคลุมเพียงพอหรือการตรวจสอบได้ทำไม่ดีหรือผลการวิจัย / ข้อสรุปเป็นลบ


1
ผู้สอบบัญชีได้ระบุไว้อย่างชัดเจนว่าเพื่อให้พวกเขาสามารถดำเนินการตรวจสอบโครงสร้างพื้นฐานที่ใช้ AWS ของเราพวกเขาจำเป็นต้องเห็นรายการควบคุมที่ประเมินโดย QSA สำหรับการตรวจสอบ PCI และ SAS 70 ประเภท 2 จะไม่สามารถใช้ได้ใน กรณีนี้. ฉันมีความคิดเห็นเช่นเดียวกับตัวคุณเองที่ Amazon พยายามวางตำแหน่งตัวเองในฐานะผู้ให้บริการที่เป็นมิตรกับ PCI แต่จากมุมมองของผู้สอบบัญชีพวกเขาไม่ได้ให้ความร่วมมือกับ QSA ในการพยายามรับข้อมูลจากพวกเขาในอดีต ค่อนข้างงงกับฉันที่จะพูดน้อย ฉันหวังว่าบางคนประสบความสำเร็จดังนั้นคำถามนี้
Boris Slobodin

ตกลงชัดเจนพอ ยังแปลกที่ AWS จะไม่ให้ความร่วมมือหากคำขอนั้นถูกต้อง / น่าเชื่อถือและ SAS70 จะไม่นำไปใช้ แต่ฉันไม่ใช่ผู้เชี่ยวชาญ PCI ... หวังว่าใครบางคนจะต้องทำตามที่คุณขอ
reiniero
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.