qual é a diferença entre a conformidade com PCI e SAS 70 quando estou comprando uma empresa de hospedagem para colocar meus servidores?

3

Estou procurando hospedagem, ec2 é compatível com SAS 70 (quase) e eu teria ido direto para PCI e tier 4 apenas, mas estou considerando o SAS 70. Quais são as diferenças ou semelhanças?

    
por Stewart Robinson 05.01.2010 / 15:49

6 respostas

2

A menos que você processe transações com cartão de crédito, a conformidade com a PCI é irrelevante para seus objetivos. Mesmo que a conformidade com a PCI seja relevante para você, a auditoria do SAS 70 é mais importante para fins de verificação da segurança física e ambiental de seus servidores, entre outros problemas. No entanto, tenha em mente que uma auditoria do SAS 70 é considerada uma substituição da organização (o data center, neste caso) sendo auditada repetidamente pelos seus clientes e pelos auditores de seus clientes. Ao contrário da maioria das organizações, você vai pisar no data center e observará muitos dos controles. No entanto, você ainda solicita uma cópia do relatório e a revisa. Certifique-se de que esteja atual. Idealmente, eles têm uma auditoria SAS do tipo 2 versus uma auditoria do tipo 1. Verifique se a carta de opinião do auditor é desqualificada (boa) ou qualificada (significa que uma questão foi tão significativa que foi incluída na carta) e que o escopo parece relevante para os serviços prestados.

    
por 07.01.2010 / 06:05
4

Isenção de responsabilidade - Eu trabalho para um provedor de hospedagem que é compatível com SAS 70 tipo II e um provedor de serviço validado pelo PCI DSS.

O PCI DSS é um conjunto específico de requisitos técnicos que devem ser atendidos. O SAS 70 é uma auditoria de seus controles e procedimentos.

    
por 05.01.2010 / 20:51
1

É importante observar que você pode estar em conformidade com o SAS70 e NÃO ser compatível com o PCI DSS. Um não implica o outro. São processos de conformidade diferentes com objetivos diferentes.

    
por 05.01.2010 / 21:32
1

Um data center provavelmente será compatível com PCI apenas nas áreas de segurança física. Isso também acontece com algumas soluções gerenciadas de hospedagem, como Rackspace e SunGuard.

Eles possuem alguns controles, mas algumas empresas de auditoria têm problemas com alguns provedores de hospedagem gerenciados.

    
por 31.03.2011 / 18:03
1

Como rorr disse: O PCI DSS é um conjunto específico de requisitos técnicos que devem ser atendidos. O SAS 70 é uma auditoria de controles e procedimentos.

Ainda não posso comentar, por isso, na forma de uma resposta: Quero acrescentar que o SAS 70 (tipo 1 ou 2) pode realmente ser uma auditoria em qualquer coisa. (Assim, pode ser uma auditoria financeira, auditoria de prevenção / backup / recuperação de incêndio, HIPAA dos EUA, etc.). O que a auditoria cobre é determinado pelo seu escopo, que deve estar no contrato para contratar o auditor (e retornar no relatório de auditoria).

AFAIR, existe uma diretriz de auditoria específica para os controles do PCI DSS; você pode fazer um auditor executar uma auditoria SAS70 tipo 2 contra esses controles = > result: você pode acenar com o relatório (supondo que seja uma opinião não-qualificada, como mencionado em outro lugar) quando receber os auditores do PCI. Mas certifique-se de que o relatório SAS70 tipo 2 cobre as coisas certas.

Também pode muito bem ser possível obter uma certificação PCI DSS do seu hoster que não esteja na forma de SAS70 ...

    
por 28.07.2011 / 10:50
-2

Nenhuma empresa de hospedagem é realmente compatível com PCI. Esse tipo de conformidade é atingido para cada cliente que o exige, porque, do contrário, todos os servidores de seus clientes seriam configurados de maneira a torná-los compatíveis com PCI, o que não seria uma boa ideia, a menos que sejam apenas atendendo àqueles que precisam.

A conformidade com o SAS-70 é alcançada geralmente no nível do datacenter, e eu não acho que você será capaz de atingir completamente certos níveis de conformidade em um ambiente parecido com a nuvem, onde muitas coisas são compartilhadas entre vários usuários.

    
por 05.01.2010 / 15:56