Czy ktoś osiągnął poziom 1 PCI zgodny z AWS?

9

Pomijając wszystkie najczęściej zadawane pytania, dokumenty i oświadczenia opublikowane przez AWS, czy którykolwiek sprzedawca Poziomu 1 faktycznie osiągnął zgodność z PCI w AWS? Oceniamy przeniesienie niektórych naszych usług do EC2 / VPC, ale nasz audytor twierdzi, że AWS nie współpracowało, gdy ich inni klienci próbowali osiągnąć zgodność i zamiast tego musieli udać się do Rackspace. Problemy, na które wpadli, to:

  • AWS nie udostępnia szczegółowej listy kontroli ocenianych podczas własnego audytu PCI AWS, co uniemożliwia audytorowi określenie, które pozycje są objęte AWS, a które są obowiązkiem klienta
  • AWS nie wyjaśnia, w jaki sposób oceniano hiperwizora i jakie testy przeprowadzono, aby zapewnić izolację najemcy

Aktualizacja: To pytanie zostało pierwotnie zadane na StackExchange, ale zostało odrzucone jako nieodpowiednie dla tej strony /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

Boris Slobodin
źródło

Odpowiedzi:

4

Proponuję nie próbować samodzielnie rozwiązywać problemu AWS.

Zapytaj swojego audytora, czy zaakceptuje raport kontroli AWS SAS 70 typu 2 dotyczący zgodności z PCI: oznacza to, że audytor zewnętrzny przeprowadza kontrolę AWS pod kątem bezpieczeństwa PCI w odniesieniu do klientów AWS i wydaje raport. Twój audytor w zasadzie to gumuje. Jeśli audytor nie chce zaakceptować tego raportu, zapytaj jego kierownictwo, dlaczego nie jest i czy przestrzegają zasad AICPA (patrz jednak Gotchas poniżej).

Jeśli AWS nie chce poddać się takiemu standardowemu procesowi audytu, zasadniczo podważa całą swoją pozycję rynkową w zakresie zgodności z PCI => przetwarzanie kart kredytowych, więc nie wyobrażam sobie, żeby nie współpracowali. Zobacz np. Jedną z wielkich pięciu ... eeh cztery firmy księgowe prowadzące audyty SAS70 i Wikipedię na SAS70

Gotchas: SAS 70 typ 2 nie precyzuje, co dokładnie należy poddać audytowi, dlatego należy upewnić się, że audytor zgadza się z zakresem audytu z wyprzedzeniem: 2 kwestie, które biegły rewident ma na uwadze. Uwaga: SAS 70 typ 2 jest amerykańskim standardem audytu, który istnieje od jakiegoś czasu, mogą istnieć zaktualizowane wersje / standardy dla tego. Jeśli jesteś w innym kraju, mogą obowiązywać inne wymagania, ale SAS 70 typ 2 jest bardzo szeroko stosowany na arenie międzynarodowej.

Może się jednak zdarzyć, że twój audytor rzeczywiście ma raport SAS 70 typu 2 na temat AWS i uważa, że ​​zakres nie jest wystarczająco szeroki, lub że audyt został źle przeprowadzony, lub wynikające z niego ustalenia / wnioski były negatywne.

reiniero
źródło
1
Audytor wyraźnie stwierdził, że aby mogli nawet przeprowadzić audyt naszej infrastruktury opartej na AWS, muszą zobaczyć wyszczególnioną listę kontroli ocenionych przez QSA do audytu PCI, a SAS 70 typ 2 nie będzie miał zastosowania ta sprawa. Jestem tego samego zdania co ty, ponieważ Amazon wyraźnie stara się pozycjonować jako dostawca przyjazny dla PCI, ale z punktu widzenia audytora nie współpracowali z QSA, próbując uzyskać od nich informacje w przeszłości, co jest co mnie dość zastanawia. Mam nadzieję, że komuś się udało, stąd to pytanie.
Boris Slobodin
Ok, jasne. Nadal dziwne, że AWS nie współpracowałoby, gdyby żądanie było ważne / wiarygodne, i że SAS70 nie miałoby zastosowania, ale nie jestem ekspertem PCI ... Mam nadzieję, że ktoś dzwoni, kto osiągnął zgodność, tak jak prosiłeś.
reiniero