Sugiro que você não tente resolver o problema da AWS sozinho.
Pergunte ao seu auditor se ele aceitará um relatório de auditoria SAS 70 Tipo 2 da AWS com relação à conformidade com a PCI: isso significa que um auditor externo audita a AWS para segurança da PCI referente a clientes da AWS e emite um relatório. Seu auditor, em seguida, basicamente, embute-o. Se o auditor não estiver disposto a aceitar este relatório, pergunte à sua administração por que ele não é e se ele obedece às regras do AICPA (consulte Gotchas abaixo).
Se a AWS não estiver disposta a passar por um processo de auditoria padrão, eles basicamente prejudicam toda a sua posição de mercado em relação ao processamento de cartão de crédito PCI Compliance = > portanto, não posso imaginar que eles não cooperariam. Veja por exemplo um dos os cinco grandes ... eeh quatro empresas de contabilidade que fornecem auditorias SAS70 e Wikipedia no SAS70
Pegadinhas: o tipo 2 do SAS 70 não especifica exatamente o que deve ser auditado, portanto, você deve certificar-se de que seu auditor concorde com o escopo da auditoria antecipadamente: as duas questões que o auditor tem sido um caso em questão. Nota: O SAS 70 tipo 2 é um padrão de auditoria dos EUA que já existe há algum tempo; pode haver versões / padrões atualizados para isso. Se você estiver em outro país, pode haver outros requisitos, mas o SAS 70 tipo 2 é muito usado internacionalmente.No entanto, pode ser que seu auditor realmente tenha um relatório SAS 70 tipo 2 na AWS e pense que o escopo não é suficientemente extenso ou que a auditoria foi mal feita ou que as conclusões / conclusões resultantes foram negativas.