Мы разрабатываем веб-приложение, которое будет работать с конфиденциальными (финансовыми) данными клиентов (аудитория - средний и крупный бизнес). Клиенты будут находиться под пристальным вниманием регулирующих органов и аудиторов, и мы тоже. Что еще более важно, чтобы клиенты чувствовали себя комфортно, наше приложение и соответствующий хостинг должны вызывать у них большое доверие.
Мы планируем использовать облачные сервисы, такие как Linode, Amazon EC2 и т. Д. Чтобы обеспечить максимальную гибкость, мы стремимся размещать все на виртуальных серверах и избегать необходимости покупать собственное оборудование.
Имеет ли смысл облачная служба для нашего конкретного сценария? Если нет, то какой тип хостинга мы должны рассмотреть? Если да, то на что мы должны обратить внимание?
Спасибо!
Будет сложно найти безопасную инфраструктуру, не имея больше рук. Скорее всего, вы не сможете полностью защитить данные, хранящиеся в среде хостинга, такой как Amazon EC2. В частности, что касается хранилища кредитных карт и PCI, обычно не рекомендуется хранить данные в этих средах.
Даже наличие выделенного сервера не будет соответствовать требованиям PCI для хранения данных, поскольку вам потребуется физически защитить пространство и иметь контролируемый физический доступ.
Чтобы соответствовать большинству требований безопасности, вам понадобится собственное пространство с контролем доступа и физической безопасностью. Например, полностью закрытая клетка в общем центре обработки данных может соответствовать требованиям. Продукты более низкого уровня, такие как виртуальные частные серверы и выделенные серверы, вряд ли будут соответствовать требованиям.
Применимые правила будут уникальными для данных, что поможет уточнить точные требования. Если вы хотите понять, во что ввязываетесь, вы можете взглянуть на PCI DSS.
Удачи.
Если вам удастся найти аудитора, который одобрит размещение конфиденциальных финансовых данных в облаке, вам, вероятно, придется прекратить использование Dewey, Cheatem и Howe. Если серьезно, то хостинг для конфиденциальных данных должен осуществляться компанией, имеющей сертификат SAS 70 и позволяющей аудиторам проверять свои процедуры (в качестве потенциального источника на ум приходит Сунгард). В США большинство официальных форм аудита ИТ не любят слышать слово «хостинг», потому что оно подразумевает, что у вас нет контроля над данными, что является проблемой. С точки зрения затрат, я подозреваю, вы обнаружите, что использование размещенной службы будет стоить намного дороже, чем получение где-либо размещенного места.
Я подозреваю, что предложение Verizon CaaS сработает для этого, а их ROC может позволить вам спать по ночам. Они привыкли иметь дело с соответствием PCI (и более строгими вещами, такими как HIPPA и то, чего хотят банки). Не самые дешевые, но они могут предложить очень высокий уровень обслуживания.
Дисклеймер, я СА в РПЦ.