Кто-нибудь достиг уровня 1 PCI в AWS?

9

За исключением всех часто задаваемых вопросов, документов и заявлений, опубликованных AWS, достиг ли какой-либо продавец уровня 1 соответствия PCI на AWS? Мы оцениваем перевод некоторых наших сервисов в EC2 / VPC, но наш аудитор говорит, что AWS не сотрудничали, когда их другие клиенты пытались достичь соответствия, и вместо этого им пришлось пойти в Rackspace. Проблемы, с которыми они столкнулись, были:

  • AWS не предоставляет подробный список элементов управления, оцененных в собственном аудите PCI AWS, что делает невозможным для аудитора отмечать, какие элементы покрываются AWS, а какие - ответственность клиента
  • AWS не уточняет, как оценивался гипервизор и какие тесты проводились для обеспечения изоляции арендаторов.

Обновление: Этот вопрос первоначально задавался на StackExchange, но был отклонен как неприемлемый для этого сайта /programming/6851259/has-anyone-achtained-level-1-pci-compliance-on-aws

amazon-ec2 amazon-web-services pci-dss Борис Слободин
источник

Ответы:

4

Я бы посоветовал не пытаться решить проблему AWS самостоятельно.

Спросите своего аудитора, примет ли он аудиторский отчет SAS 70 типа 2 AWS относительно соответствия PCI: это означает, что внешний аудитор проводит аудит AWS для обеспечения безопасности PCI в отношении клиентов AWS и выдает отчет. Ваш одитор тогда в основном теряет это. Если аудитор не желает принять этот отчет, спросите его руководство, почему он этого не делает, и соблюдают ли они правила AICPA (см., Однако, пункты ниже).

Если AWS не желает проходить такой стандартный процесс аудита, они в основном подрывают всю свою рыночную позицию в отношении PCI Compliance => обработки кредитных карт, поэтому я не могу себе представить, что они не будут сотрудничать. См., Например, одну из пяти крупнейших ... четырех бухгалтерских фирм, предоставляющих аудит SAS70, и Википедию по SAS70.

Поправка: SAS 70, тип 2, не определяет, что именно нужно проверять, поэтому вы должны убедиться, что ваш аудитор заранее согласен с объемом аудита: 2 вопроса, которые аудитор рассматривает в качестве примера. Примечание: SAS 70 type 2 - это стандарт аудита США, который существует уже некоторое время, для этого могут быть обновленные версии / стандарты. Если вы находитесь в другой стране, могут быть и другие требования, но SAS 70 типа 2 очень широко используется на международном уровне.

Однако может случиться так, что ваш аудитор на самом деле имеет отчет SAS 70 типа 2 по AWS и считает, что область его действия недостаточно обширна, или аудит был проведен плохо, или полученные выводы / заключения были отрицательными.

reiniero
источник
1
Аудитор четко заявил, что для того, чтобы они могли даже приступить к аудиту нашей инфраструктуры на основе AWS, они должны увидеть подробный список средств контроля, оцененных QSA для аудита PCI, и SAS 70 тип 2 не будет применим в этот случай. Я придерживаюсь того же мнения, что и вы, в том, что Amazon явно пытается позиционировать себя в качестве PCI-дружественного провайдера, но с точки зрения аудитора, они не сотрудничали с QSA, пытаясь получить от них информацию в прошлом, что является довольно озадачивающий для меня, чтобы сказать наименее. Я надеюсь, что кому-то это удалось, отсюда и этот вопрос.
Борис Слободин
Хорошо, достаточно ясно. Все еще странно, что AWS не будет сотрудничать, если запрос будет действительным / правдоподобным, и что SAS70 не будет применяться, но я не эксперт по PCI ... Надеюсь, кто-то подскажет, кто достиг соответствия, как вы и просили.
Reiniero