Я ищу хостинг, ec2 соответствует SAS 70 (почти), и я бы сразу выбрал PCI-совместимый и только уровень 4, но я рассматриваю SAS 70. Какие различия или сходства?
Отказ от ответственности - я работаю на хостинг-провайдера, который соответствует стандарту SAS 70 type II и провайдер услуг, прошедший проверку PCI DSS.
PCI DSS - это особый набор технических требований, которые необходимо соблюдать. SAS 70 - это аудит ваших средств контроля и процедур.
Если вы не обрабатываете транзакции по кредитным картам, соответствие PCI не имеет значения для ваших целей. Даже если для вас важно соответствие требованиям PCI, аудит SAS 70 более важен для целей проверки физической и экологической безопасности ваших серверов, среди прочего. Однако имейте в виду, что аудит SAS 70 считается заменой организации (в данном случае центра обработки данных), которую постоянно проверяют клиенты и аудиторы клиентов. В отличие от большинства организаций, вы собираетесь ступить в центр обработки данных и самостоятельно наблюдать за многими элементами управления. Однако вы все равно запрашиваете копию отчета и просматриваете ее. Убедитесь, что он актуален. В идеале у них есть аудит SAS 70 типа 2, а не аудит типа 1. Убедитесь, что письмо-мнение аудитора является неквалифицированным (хорошим) или квалифицированным (означает, что проблема была настолько существенной, что она была включена в письмо), и что его объем кажется относящимся к предоставленным услугам.
Важно отметить, что вы можете соответствовать стандарту SAS70 и НЕ соответствовать стандарту PCI DSS. Одно не подразумевает другого. Это разные процессы комплаенса с разными целями.
Дата-центр, скорее всего, будет соответствовать стандарту PCI только в области физической безопасности. Это также происходит с некоторыми решениями для управляемого хостинга, такими как Rackspace и SunGuard.
У них есть некоторые элементы управления, но у некоторых аудиторских компаний есть проблемы с некоторыми поставщиками управляемого хостинга.
Как сказал Рорр: PCI DSS - это особый набор технических требований, которые необходимо соблюдать. SAS 70 - это аудит средств контроля и процедур.
Пока не могу комментировать, поэтому в форме ответа: хочу добавить, что SAS 70 (тип 1 или 2) на самом деле может быть аудитом чего угодно. (Так что это может быть финансовый аудит, аудит по предотвращению пожаров / резервному копированию / восстановлению, US HIPAA и т. Д.). Что охватывает аудит, определяется его объемом, который должен быть в контракте на найм аудитора (и возвращаться в аудиторском отчете).
AFAIR, существует специальное руководство по аудиту для контроля PCI DSS; вы можете попросить аудитора выполнить аудит SAS70 типа 2 в отношении этих средств контроля => результат: вы можете помахать отчетом (при условии, что это безоговорочное мнение, как упоминалось в другом месте), когда вы получите аудиторов PCI. Но убедитесь, что отчет SAS70 type 2 охватывает правильные вещи.
Также вполне может быть, что вы можете получить сертификат PCI DSS своего хостера, который не в форме SAS70 ...
Фактически ни одна хостинговая компания не соответствует требованиям PCI. Такого рода соответствие достигается для каждого клиента, который этого требует, потому что в противном случае он будет предполагать, что все серверы их клиентов настроены таким образом, что делают их совместимыми с PCI, что не будет хорошей идеей, если только они обслуживаем тех, кто в этом нуждается.
Соответствие SAS-70 обычно достигается на уровне центра обработки данных, и я не думаю, что вы сможете полностью достичь определенных уровней соответствия в облачной среде, где многие вещи используются совместно несколькими пользователями.