क्या किसी ने AWS पर Level 1 PCI अनुपालन हासिल किया है?

9

AWS द्वारा प्रकाशित सभी पूछे जाने वाले प्रश्न, दस्तावेज और कथन, क्या किसी स्तर 1 व्यापारी ने वास्तव में AWS पर PCI अनुपालन प्राप्त किया है? हम अपनी कुछ सेवाओं को EC2 / VPC में ले जाने का मूल्यांकन कर रहे हैं, लेकिन हमारे ऑडिटर कह रहे हैं कि AWS सहकारी नहीं थी जब उनके अन्य ग्राहक अनुपालन प्राप्त करने की कोशिश कर रहे थे और इसके बजाय रैकस्पेस जाना था। वे जिन मुद्दों में भाग लेते थे,

  • AWS, AWS के स्वयं के PCI ऑडिट में मूल्यांकन किए गए नियंत्रणों की आइटम सूची नहीं दे रहा है, जिससे ऑडिटर के लिए यह चिन्हित करना असंभव हो जाता है कि कौन से आइटम AWS द्वारा कवर किए गए हैं और जो ग्राहक की जिम्मेदारी हैं
  • AWS स्पष्ट नहीं कर रहा है कि हाइपरवाइज़र का मूल्यांकन कैसे किया गया था और किरायेदार अलगाव सुनिश्चित करने के लिए कौन से परीक्षण किए गए थे

अद्यतन: यह सवाल मूल रूप से StackExchange पर पूछा गया था, लेकिन उस साइट के लिए उपयुक्त नहीं के रूप में मतदान किया गया था /programming/6851259/has-anyone-achieve-level-1-pci-combiance-on-aws

amazon-ec2  amazon-web-services  pci-dss 
बोरिस स्लोबोडिन
स्रोत

जवाबों:

4

मेरा सुझाव है कि AWS की समस्या को स्वयं हल करने का प्रयास न करें।

अपने ऑडिटर से पूछें कि क्या वह PCI अनुपालन के बारे में AWS की एसएएस 70 टाइप 2 ऑडिट रिपोर्ट को स्वीकार करेगा: इसका मतलब है कि बाहरी ऑडिटर पीसीआई सुरक्षा के लिए AWS का ऑडिट करता है जो AWS क्लाइंट से संबंधित है और रिपोर्ट जारी करता है। आपका ऑडिटर तब मूल रूप से रबरस्टैम्प करता है। यदि ऑडिटर इस रिपोर्ट को स्वीकार करने के लिए तैयार नहीं है, तो अपने प्रबंधन से पूछें कि वह ऐसा क्यों नहीं है और क्या वे एआईसीपीए नियमों का पालन करते हैं (हालांकि नीचे गोचैक्स देखें)।

यदि AWS ऐसी मानक ऑडिट प्रक्रिया से गुजरने के लिए तैयार नहीं है, तो वे मूल रूप से PCI अनुपालन => क्रेडिट कार्ड प्रसंस्करण के बारे में अपनी पूरी बाजार स्थिति को कम कर देते हैं, इसलिए मैं कल्पना नहीं कर सकता कि वे सहयोग नहीं करेंगे। उदाहरण के लिए बड़े पाँच में से एक देखें ... eeh चार लेखाकार SAS70 पर SAS70 ऑडिट और विकिपीडिया प्रदान करते हैं

गोच्च्स: एसएएस 70 टाइप 2 निर्दिष्ट नहीं करता है कि वास्तव में क्या ऑडिट करना है, इसलिए आपको यह सुनिश्चित करना होगा कि आपका ऑडिटर पहले से ऑडिट के दायरे से सहमत है: ऑडिटर ने 2 मुद्दों को एक बिंदु पर रखा है। नोट: SAS 70 प्रकार 2 एक अमेरिकी ऑडिटिंग मानक है जो कुछ समय के लिए आसपास रहा है, इसके लिए अद्यतन संस्करण / मानक हो सकते हैं। यदि आप किसी दूसरे देश में हैं, तो अन्य आवश्यकताएं हो सकती हैं, लेकिन एसएएस 70 प्रकार 2 बहुत व्यापक रूप से अंतरराष्ट्रीय स्तर पर उपयोग किया जाता है।

हालाँकि, यह हो सकता है कि आपके ऑडिटर के पास वास्तव में एएएस पर एसएएस 70 टाइप 2 की रिपोर्ट हो और सोचता है कि दायरा पर्याप्त व्यापक नहीं है, या ऑडिट बुरी तरह से किया गया था, या परिणामी निष्कर्ष / निष्कर्ष नकारात्मक था।

reiniero
स्रोत
1
लेखा परीक्षक ने स्पष्ट रूप से कहा था कि उनके लिए हमारी AWS आधारित आधारभूत संरचना के ऑडिट के लिए भी आगे बढ़ना होगा, क्योंकि उन्हें PCI ऑडिट और SAS 70 प्रकार 2 के लिए QSA द्वारा मूल्यांकन किए गए नियंत्रणों की एक आइटम सूची देखने की आवश्यकता नहीं है। ये मामला। मैं खुद के बारे में भी यही राय रखता हूं, जिसमें अमेज़ॅन स्पष्ट रूप से खुद को पीसीआई-अनुकूल प्रदाता के रूप में स्थान देने की कोशिश करता है, फिर भी ऑडिटर के दृष्टिकोण से, उन्होंने क्यूएसए के साथ सहयोग नहीं किया था, जो कि अतीत में उनसे जानकारी प्राप्त करने की कोशिश कर रहा था, जो है मुझे कम से कम कहने के लिए काफी हैरान। मुझे उम्मीद है कि कोई सफल हुआ, इसलिए यह सवाल।
बोरिस स्लोबोडिन
ठीक है, पर्याप्त स्पष्ट। फिर भी अजीब बात है कि यदि अनुरोध वैध / प्रशंसनीय है, तो AWS सहयोग नहीं करेगा, और यह कि SAS70 लागू नहीं होगा, लेकिन मैं PCI विशेषज्ञ नहीं हूँ ... आशा है कि किसी ने झंकार का अनुपालन नहीं किया, जैसा आपने पूछा।
रीइन्फिरेरो
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.