qual é a diferença entre a conformidade com PCI e SAS 70 quando estou comprando uma empresa de hospedagem para colocar meus servidores?

A menos que você processe transações com cartão de crédito, a conformidade com a PCI é irrelevante para seus objetivos. Mesmo que a conformidade com a PCI seja relevante para você, a auditoria do SAS 70 é mais importante para fins de verificação da segurança física e ambiental de seus servidores, entre outros problemas. No entanto, tenha em mente que uma auditoria do SAS 70 é considerada uma substituição da organização (o data center, neste caso) sendo auditada repetidamente pelos seus clientes e pelos auditores de seus clientes. Ao contrário da maioria das organizações, você vai pisar no data center e observará muitos dos controles. No entanto, você ainda solicita uma cópia do relatório e a revisa. Certifique-se de que esteja atual. Idealmente, eles têm uma auditoria SAS do tipo 2 versus uma auditoria do tipo 1. Verifique se a carta de opinião do auditor é desqualificada (boa) ou qualificada (significa que uma questão foi tão significativa que foi incluída na carta) e que o escopo parece relevante para os serviços prestados.

Isenção de responsabilidade - Eu trabalho para um provedor de hospedagem que é compatível com SAS 70 tipo II e um provedor de serviço validado pelo PCI DSS.

O PCI DSS é um conjunto específico de requisitos técnicos que devem ser atendidos. O SAS 70 é uma auditoria de seus controles e procedimentos.

É importante observar que você pode estar em conformidade com o SAS70 e NÃO ser compatível com o PCI DSS. Um não implica o outro. São processos de conformidade diferentes com objetivos diferentes.

Um data center provavelmente será compatível com PCI apenas nas áreas de segurança física. Isso também acontece com algumas soluções gerenciadas de hospedagem, como Rackspace e SunGuard.

Eles possuem alguns controles, mas algumas empresas de auditoria têm problemas com alguns provedores de hospedagem gerenciados.

Como rorr disse: O PCI DSS é um conjunto específico de requisitos técnicos que devem ser atendidos. O SAS 70 é uma auditoria de controles e procedimentos.

Ainda não posso comentar, por isso, na forma de uma resposta: Quero acrescentar que o SAS 70 (tipo 1 ou 2) pode realmente ser uma auditoria em qualquer coisa. (Assim, pode ser uma auditoria financeira, auditoria de prevenção / backup / recuperação de incêndio, HIPAA dos EUA, etc.). O que a auditoria cobre é determinado pelo seu escopo, que deve estar no contrato para contratar o auditor (e retornar no relatório de auditoria).

AFAIR, existe uma diretriz de auditoria específica para os controles do PCI DSS; você pode fazer um auditor executar uma auditoria SAS70 tipo 2 contra esses controles = > result: você pode acenar com o relatório (supondo que seja uma opinião não-qualificada, como mencionado em outro lugar) quando receber os auditores do PCI. Mas certifique-se de que o relatório SAS70 tipo 2 cobre as coisas certas.

Também pode muito bem ser possível obter uma certificação PCI DSS do seu hoster que não esteja na forma de SAS70 ...

Nenhuma empresa de hospedagem é realmente compatível com PCI. Esse tipo de conformidade é atingido para cada cliente que o exige, porque, do contrário, todos os servidores de seus clientes seriam configurados de maneira a torná-los compatíveis com PCI, o que não seria uma boa ideia, a menos que sejam apenas atendendo àqueles que precisam.

A conformidade com o SAS-70 é alcançada geralmente no nível do datacenter, e eu não acho que você será capaz de atingir completamente certos níveis de conformidade em um ambiente parecido com a nuvem, onde muitas coisas são compartilhadas entre vários usuários.