扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
问:一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?
答:这是可能的,但要记住,在作出这样一个大胆的、绝对的和明确的声明前,各个领域的PCI合规都需要深入研究。
首先,“云计算”一词可以有任何多种不同的含义,每个都以它们自己的方式显著。确保你了解关于云服务提供的确切性质。
也就是说,如果典型的云计算服务可以被定义为“目标用户池在虚拟环境中共享计算资源”,那么如果厂商和服务提供商计划实现PCI合规的话,他们还有很多工作要做。具体来说,这些组织必须提供真实可信的证据满足PCI DSS所有的12条要求,更加强调确保客户A端的数据到客户B的端数据的逻辑分离及保护。此外,这些组织也将提供证据,满足经常被忽视的PCI DSS的附录A部分,其中有明确要求,确保共享宿主环境中的数据分离,比如云计算。
云计算PCI合规最困难的一个方面是,获得可验证和可靠的审计证据,从而通过合格的安全评估(质量体系评审)签署。许多传统厂商和服务提供商实际上是提供基于云的服务,但他们多次通过亚马逊或微软的云基础设施,而这一点,是很难取得审计证据的。但是,如果实际的供应商或服务提供商通过自己专有搭建的云平台来提供这些服务,验证将不再是一个挑战。
即使考虑到这一点,每个PCI DSS要求也必须得到验证,一个质量体系评审(QSA)或其他主管审计师必须验证以下两点,(1)12个PCI DSS要求做到位;(2)在12个PCI DSS要求中,并在适用情况下,要真正实现数据在客户端A到客户端B间的分离。不管一个企业是否在其持卡人数据环境中采用云计算服务,验证都是必须的。这不是个简单的任务,但如果云提供商和质量体系评审愿意以有效的方式共同努力,验证是可以做到的。因此,许多领域将需要通过实际上属于附录A范围的检查,附录A中说明了分离和隔离的要求。
濠电姷顣介埀顒€鍟块埀顒€缍婇幃妯诲緞閹邦剛鐣洪梺闈浥堥弲婊勬叏濠婂牊鍋ㄦい鏍ㄧ〒閹藉啴鏌熼悜鈺傛珚鐎规洘宀稿畷鍫曞煛閸屾粍娈搁梻浣筋嚃閸ㄤ即宕㈤弽顐ュС闁挎稑瀚崰鍡樸亜閵堝懎濮┑鈽嗗亝濠㈡ê螞濡ゅ懏鍋傛繛鍡樻尭鐎氬鏌嶈閸撶喎顕i渚婄矗濞撴埃鍋撻柣娑欐崌閺屾稑鈹戦崨顕呮▊缂備焦顨呴惌鍌炵嵁鎼淬劌鐒垫い鎺戝鐎氬銇勯弽銊ф噥缂佽妫濋弻鐔碱敇瑜嶉悘鑼磼鏉堛劎绠為柡灞芥喘閺佹劙宕熼鐘虫緰闂佽崵濮抽梽宥夊垂閽樺)锝夊礋椤栨稑娈滈梺纭呮硾椤洟鍩€椤掆偓閿曪妇妲愰弮鍫濈闁绘劕寮Δ鍛厸闁割偒鍋勯悘锕傛煕鐎n偆澧紒鍌涘笧閹瑰嫰鎼圭憴鍕靛晥闂備礁鎼€氱兘宕归柆宥呯;鐎广儱顦伴崕宥夋煕閺囥劌澧ù鐘趁湁闁挎繂妫楅埢鏇㈡煃瑜滈崜姘跺蓟閵娧勵偨闁绘劕顕埢鏇㈡倵閿濆倹娅囨い蹇涗憾閺屾洟宕遍鐔奉伓