Qualcuno ha raggiunto la conformità PCI di livello 1 su AWS?

9

Tutte le domande frequenti, i documenti e le dichiarazioni pubblicati da AWS a parte, qualche commerciante di livello 1 ha effettivamente raggiunto la conformità PCI su AWS? Stiamo valutando il trasferimento di alcuni dei nostri servizi su EC2 / VPC, ma il nostro revisore sta dicendo che AWS non era stato cooperativo quando gli altri suoi clienti stavano cercando di raggiungere la conformità e invece è dovuto andare su Rackspace. I problemi che hanno incontrato sono stati,

  • AWS non fornisce un elenco dettagliato dei controlli valutati nell'audit PCI di AWS, rendendo impossibile per il revisore contrassegnare quali elementi sono coperti da AWS e quali sono di responsabilità del cliente
  • AWS non sta chiarendo come è stato valutato l'hypervisor e quali test sono stati eseguiti per garantire l'isolamento del locatario

Aggiornamento: questa domanda è stata originariamente posta su StackExchange, ma è stata votata come non appropriata per quel sito /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

amazon-ec2  amazon-web-services  pci-dss 
Boris Slobodin
fonte

Risposte:

4

Suggerirei di non provare a risolvere tu stesso il problema di AWS.

Chiedi al tuo revisore se accetterà un rapporto di controllo SAS 70 Tipo 2 di AWS relativo alla conformità PCI: ciò significa che un revisore esterno verifica AWS per la sicurezza PCI relativa ai client AWS e pubblica un rapporto. Il vostro revisore quindi sostanzialmente lo definisce. Se il revisore non è disposto ad accettare questo rapporto, chiedi alla sua direzione perché non lo è e se rispetta le regole AICPA (vedi comunque i Gotcha).

Se AWS non è disposto a sottoporsi a un processo di audit così standard, fondamentalmente minano la loro intera posizione di mercato in merito alla conformità PCI => elaborazione delle carte di credito, quindi non posso immaginare che non collaborerebbero. Vedi ad esempio una delle cinque grandi ... eeh quattro società di revisione contabile che forniscono audit SAS70 e Wikipedia su SAS70

Gotchas: SAS 70 tipo 2 non specifica esattamente cosa controllare, quindi devi assicurarti che il tuo revisore sia d'accordo con l'ambito dell'audit in anticipo: i 2 problemi che il revisore ha rappresentato come un caso specifico. Nota: SAS 70 tipo 2 è uno standard di audit degli Stati Uniti che esiste da un po ', potrebbero esserci versioni / standard aggiornati per questo. Se ti trovi in ​​un altro paese, potrebbero esserci altri requisiti, ma SAS 70 tipo 2 è ampiamente utilizzato a livello internazionale.

Tuttavia, è possibile che il revisore abbia effettivamente un report SAS 70 di tipo 2 su AWS e pensi che l'ambito non sia sufficientemente esteso o che l'audit sia stato svolto in modo errato o che i risultati / conclusioni risultanti siano negativi.

reiniero
fonte
1
Il revisore aveva affermato chiaramente che per poter persino procedere con un audit della nostra infrastruttura basata su AWS devono vedere un elenco dettagliato dei controlli valutati dal QSA per il controllo PCI e SAS 70 tipo 2 non sarebbe applicabile in questo caso. Sono della stessa opinione di te stesso, in quanto Amazon cerca chiaramente di posizionarsi come provider PCI-friendly, ma dal punto di vista del revisore, non avevano collaborato con il QSA cercando di ottenere le informazioni da loro in passato, che è abbastanza sconcertante per me per non dire altro. Spero che qualcuno ci sia riuscito, quindi questa domanda.
Boris Slobodin,
Ok, abbastanza chiaro. Strano ancora che AWS non coopererebbe se la richiesta fosse valida / plausibile e che SAS70 non si applicherebbe, ma io non sono un esperto PCI ... Spero che qualcuno entri in contatto con chi ha ottenuto la conformità, come hai chiesto.
Reiniero,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.