Назад | Перейти на главную страницу

Кто-нибудь достиг на AWS соответствия PCI уровня 1?

За исключением всех часто задаваемых вопросов, документов и заявлений, опубликованных AWS, любой продавец уровня 1 на самом деле достичь Соответствие PCI на AWS еще нет? Мы оцениваем перевод некоторых наших сервисов на EC2 / VPC, но наш аудитор говорит, что AWS не сотрудничал, когда другие их клиенты пытались добиться соответствия, и вместо этого пришлось перейти в Rackspace. Они столкнулись с такими проблемами:

AWS не предоставляет подробный список элементов управления, оцениваемых в ходе собственного аудита PCI PCI, что делает невозможным для аудитора отметить, какие элементы покрываются AWS, а за которые несет ответственность клиент.
AWS не разъясняет, как оценивался гипервизор и какие тесты проводились для обеспечения изоляции клиентов.

Обновить: Этот вопрос изначально задавался на StackExchange, но был отклонен как не подходящий для этого сайта. https://stackoverflow.com/questions/6851259/has-anyone-achved-level-1-pci-compliance-on-aws

Я бы посоветовал не пытаться решать проблему AWS самостоятельно.

Спросите своего аудитора, примет ли он аудиторский отчет AWS SAS 70 Type 2 относительно соответствия требованиям PCI: это означает, что внешний аудитор проверяет AWS на предмет безопасности PCI в отношении клиентов AWS и выдает отчет. Ваш одитор затем просто штампует это. Если аудитор не желает принимать этот отчет, спросите его руководство, почему он этого не делает, и соблюдают ли они правила AICPA (однако см. «Подсказки» ниже).

Если AWS не желает проходить такой стандартный процесс аудита, они в основном подрывают всю свою рыночную позицию в отношении соответствия требованиям PCI => обработки кредитных карт, поэтому я не могу представить, что они не будут сотрудничать. См. Например одна из большой пятерки ... эээх четырех бухгалтерских фирм, проводящих аудит SAS70 и Википедия о SAS70

Подсказки: SAS 70 тип 2 не определяет, что именно нужно проверять, поэтому вы должны заранее убедиться, что ваш аудитор согласен с объемом аудита: два вопроса, которые аудитор имеет в виду. Примечание: SAS 70 тип 2 - это стандарт аудита США, который существует уже некоторое время, для него могут быть обновленные версии / стандарты. Если вы находитесь в другой стране, могут быть другие требования, но SAS 70 тип 2 очень широко используется на международном уровне.

Однако может случиться так, что ваш аудитор действительно имеет отчет SAS 70 типа 2 на AWS и считает, что объем недостаточно обширен, или аудит был проведен плохо, или полученные результаты / заключение были отрицательными.