云计算PCI合规：这可能吗？

　　问：一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务，抛开厂商的自我宣传，这是真的吗?

　　答：这是可能的，但要记住，在作出这样一个大胆的、绝对的和明确的声明前，各个领域的PCI合规都需要深入研究。

　　首先，“云计算”一词可以有任何多种不同的含义，每个都以它们自己的方式显著。确保你了解关于云服务提供的确切性质。

　　也就是说，如果典型的云计算服务可以被定义为“目标用户池在虚拟环境中共享计算资源”，那么如果厂商和服务提供商计划实现PCI合规的话，他们还有很多工作要做。具体来说，这些组织必须提供真实可信的证据满足PCI DSS所有的12条要求，更加强调确保客户A端的数据到客户B的端数据的逻辑分离及保护。此外，这些组织也将提供证据，满足经常被忽视的PCI DSS的附录A部分，其中有明确要求，确保共享宿主环境中的数据分离，比如云计算。

　　云计算PCI合规最困难的一个方面是，获得可验证和可靠的审计证据，从而通过合格的安全评估(质量体系评审)签署。许多传统厂商和服务提供商实际上是提供基于云的服务，但他们多次通过亚马逊或微软的云基础设施，而这一点，是很难取得审计证据的。但是，如果实际的供应商或服务提供商通过自己专有搭建的云平台来提供这些服务，验证将不再是一个挑战。

　　即使考虑到这一点，每个PCI DSS要求也必须得到验证，一个质量体系评审(QSA)或其他主管审计师必须验证以下两点，(1)12个PCI DSS要求做到位;(2)在12个PCI DSS要求中，并在适用情况下，要真正实现数据在客户端A到客户端B间的分离。不管一个企业是否在其持卡人数据环境中采用云计算服务，验证都是必须的。这不是个简单的任务，但如果云提供商和质量体系评审愿意以有效的方式共同努力，验证是可以做到的。因此，许多领域将需要通过实际上属于附录A范围的检查，附录A中说明了分离和隔离的要求。