科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全云计算PCI合规:这可能吗?

云计算PCI合规:这可能吗?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍了云服务提供商如何使得自己所提供的云服务满足PCI DSS合规要求。

来源:TechTarget中国 2012年1月31日

关键字: 云计算 PCI 合规

  • 评论
  • 分享微博
  • 分享邮件

  问:一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?

  答:这是可能的,但要记住,在作出这样一个大胆的、绝对的和明确的声明前,各个领域的PCI合规都需要深入研究。

  首先,“云计算”一词可以有任何多种不同的含义,每个都以它们自己的方式显著。确保你了解关于云服务提供的确切性质。

  也就是说,如果典型的云计算服务可以被定义为“目标用户池在虚拟环境中共享计算资源”,那么如果厂商和服务提供商计划实现PCI合规的话,他们还有很多工作要做。具体来说,这些组织必须提供真实可信的证据满足PCI DSS所有的12条要求,更加强调确保客户A端的数据到客户B的端数据的逻辑分离及保护。此外,这些组织也将提供证据,满足经常被忽视的PCI DSS的附录A部分,其中有明确要求,确保共享宿主环境中的数据分离,比如云计算。

  云计算PCI合规最困难的一个方面是,获得可验证和可靠的审计证据,从而通过合格的安全评估(质量体系评审)签署。许多传统厂商和服务提供商实际上是提供基于云的服务,但他们多次通过亚马逊或微软的云基础设施,而这一点,是很难取得审计证据的。但是,如果实际的供应商或服务提供商通过自己专有搭建的云平台来提供这些服务,验证将不再是一个挑战。

  即使考虑到这一点,每个PCI DSS要求也必须得到验证,一个质量体系评审(QSA)或其他主管审计师必须验证以下两点,(1)12个PCI DSS要求做到位;(2)在12个PCI DSS要求中,并在适用情况下,要真正实现数据在客户端A到客户端B间的分离。不管一个企业是否在其持卡人数据环境中采用云计算服务,验证都是必须的。这不是个简单的任务,但如果云提供商和质量体系评审愿意以有效的方式共同努力,验证是可以做到的。因此,许多领域将需要通过实际上属于附录A范围的检查,附录A中说明了分离和隔离的要求。

    • 评论
    • 分享微博
    • 分享邮件
    闂傚倷绶¢崣搴ㄥ窗閺囩偐鏋庨柕蹇嬪灪婵ジ鏌曡箛瀣偓鏍綖閿燂拷

    濠电姷顣介埀顒€鍟块埀顒€缍婇幃妯诲緞閹邦剛鐣洪梺闈浥堥弲婊勬叏濠婂牊鍋ㄦい鏍ㄧ〒閹藉啴鏌熼悜鈺傛珚鐎规洘宀稿畷鍫曞煛閸屾粍娈搁梻浣筋嚃閸ㄤ即宕㈤弽顐ュС闁挎稑瀚崰鍡樸亜閵堝懎濮┑鈽嗗亝濠㈡ê螞濡ゅ懏鍋傛繛鍡樻尭鐎氬鏌嶈閸撶喎顕i渚婄矗濞撴埃鍋撻柣娑欐崌閺屾稑鈹戦崨顕呮▊缂備焦顨呴惌鍌炵嵁鎼淬劌鐒垫い鎺戝鐎氬銇勯弽銊ф噥缂佽妫濋弻鐔碱敇瑜嶉悘鑼磼鏉堛劎绠為柡灞芥喘閺佹劙宕熼鐘虫緰闂佽崵濮抽梽宥夊垂閽樺)锝夊礋椤栨稑娈滈梺纭呮硾椤洟鍩€椤掆偓閿曪妇妲愰弮鍫濈闁绘劕寮Δ鍛厸闁割偒鍋勯悘锕傛煕鐎n偆澧紒鍌涘笧閹瑰嫰鎼圭憴鍕靛晥闂備礁鎼€氱兘宕归柆宥呯;鐎广儱顦伴崕宥夋煕閺囥劌澧ù鐘趁湁闁挎繂妫楅埢鏇㈡煃瑜滈崜姘跺蓟閵娧勵偨闁绘劕顕埢鏇㈡倵閿濆倹娅囨い蹇涗憾閺屾洟宕遍鐔奉伓

    重磅专题
    往期文章
    最新文章