問:一些廠商和服務提供商聲稱他們提供符合PCI DSS的基于云的服務,拋開廠商的自我宣傳,這是真的嗎?
答:這是可能的,但要記住,在作出這樣一個大膽的、絕對的和明確的聲明前,各個領域的PCI合規都需要深入研究。
首先,“云計算”一詞可以有任何多種不同的含義,每個都以它們自己的方式顯著。確保你了解關于云服務提供的確切性質。
也就是說,如果典型的云計算服務可以被定義為“目標用戶池在虛擬環境中共享計算資源”,那么如果廠商和服務提供商計劃實現PCI合規的話,他們還有很多工作要做。具體來說,這些組織必須提供真實可信的證據滿足PCI DSS所有的12條要求,更加強調確保客戶A端的數據到客戶B的端數據的邏輯分離及保護。此外,這些組織也將提供證據,滿足經常被忽視的PCI DSS的附錄A部分,其中有明確要求,確保共享宿主環境中的數據分離,比如云計算。
云計算PCI合規最困難的一個方面是,獲得可驗證和可靠的審計證據,從而通過合格的安全評估(質量體系評審)簽署。許多傳統廠商和服務提供商實際上是提供基于云的服務,但他們多次通過亞馬遜或微軟的云基礎設施,而這一點,是很難取得審計證據的。但是,如果實際的供應商或服務提供商通過自己專有搭建的云平臺來提供這些服務,驗證將不再是一個挑戰。
即使考慮到這一點,每個PCI DSS要求也必須得到驗證,一個質量體系評審(QSA)或其他主管審計師必須驗證以下兩點,(1)12個PCI DSS要求做到位;(2)在12個PCI DSS要求中,并在適用情況下,要真正實現數據在客戶端A到客戶端B間的分離。不管一個企業是否在其持卡人數據環境中采用云計算服務,驗證都是必須的。這不是個簡單的任務,但如果云提供商和質量體系評審愿意以有效的方式共同努力,驗證是可以做到的。因此,許多領域將需要通過實際上屬于附錄A范圍的檢查,附錄A中說明了分離和隔離的要求。
京公網安備 11010502049343號