Alguém já atingiu a conformidade com o PCI Nível 1 na AWS?

9

Todas as perguntas frequentes, documentos e declarações publicadas pela AWS de lado, qualquer comerciante de nível 1 realmente atingiu conformidade com a PCI na AWS? Estamos avaliando a transferência de alguns de nossos serviços para o EC2 / VPC, mas nosso auditor está dizendo que a AWS não cooperou quando seus outros clientes estavam tentando alcançar a conformidade e tiveram que acessar a Rackspace. Os problemas que encontraram foram,

  • A AWS não está fornecendo uma lista detalhada de controles avaliados na própria auditoria PCI da AWS, impossibilitando que o auditor marque quais itens são cobertos pela AWS e quais são de responsabilidade do cliente
  • A AWS não está esclarecendo como o hipervisor foi avaliado e quais testes foram realizados para garantir o isolamento do locatário

Atualização: Esta pergunta foi feita originalmente no StackExchange, mas foi rejeitada como inadequada para esse site link

    
por Boris Slobodin 28.07.2011 / 09:29

1 resposta

4

Sugiro que você não tente resolver o problema da AWS sozinho.

Pergunte ao seu auditor se ele aceitará um relatório de auditoria SAS 70 Tipo 2 da AWS com relação à conformidade com a PCI: isso significa que um auditor externo audita a AWS para segurança da PCI referente a clientes da AWS e emite um relatório. Seu auditor, em seguida, basicamente, embute-o. Se o auditor não estiver disposto a aceitar este relatório, pergunte à sua administração por que ele não é e se ele obedece às regras do AICPA (consulte Gotchas abaixo).

Se a AWS não estiver disposta a passar por um processo de auditoria padrão, eles basicamente prejudicam toda a sua posição de mercado em relação ao processamento de cartão de crédito PCI Compliance = > portanto, não posso imaginar que eles não cooperariam. Veja por exemplo um dos os cinco grandes ... eeh quatro empresas de contabilidade que fornecem auditorias SAS70 e Wikipedia no SAS70

Pegadinhas: o tipo 2 do SAS 70 não especifica exatamente o que deve ser auditado, portanto, você deve certificar-se de que seu auditor concorde com o escopo da auditoria antecipadamente: as duas questões que o auditor tem sido um caso em questão. Nota: O SAS 70 tipo 2 é um padrão de auditoria dos EUA que já existe há algum tempo; pode haver versões / padrões atualizados para isso. Se você estiver em outro país, pode haver outros requisitos, mas o SAS 70 tipo 2 é muito usado internacionalmente.

No entanto, pode ser que seu auditor realmente tenha um relatório SAS 70 tipo 2 na AWS e pense que o escopo não é suficientemente extenso ou que a auditoria foi mal feita ou que as conclusões / conclusões resultantes foram negativas.

    
por 28.07.2011 / 10:38