Quelqu'un a-t-il obtenu une conformité PCI sur AWS?
Tous les FAQ, Documents et déclarations publiés par AWS Misté, ont-ils fait un marchand de marchands ou de services de niveau 1 réellement atteinte Conformité PCI sur AWS? Nous évaluons en train de déplacer certains de nos services à la CE2/VPC, mais notre auditeur dit que AWS n'avait pas été coopératif lorsque leurs autres clients tentaient de réaliser la conformité et devaient aller à la place de Rackspace. Les problèmes qu'ils ont couru étaient,
- AWS ne fournit pas la liste détaillée des contrôles évalués dans l'audit PCI de AWS, ce qui rend impossible l'auditeur de marquer quels articles sont couverts par AWS et relevant de la responsabilité du client.
- AWS ne clarifie pas comment l'hyperviseur a été évalué et quels tests ont été effectués pour assurer l'isolement du locataire
Amazon a un type II SAS1 70 RAPPORT. Demander une copie détaillée de celle-ci doit afficher tous les contrôles qu'ils ont en place. Il se peut que les gens posent des questions erronées. Comme une note rapide , le SAS 70 Test à l'avenir sera appelé SOC - un de ces bizarreries comptables.
Surtout avec une entreprise de la taille amazonienne, on examine le rapport, voit qu'il est raisonnable et déclare qu'ils ont fait la diligence raisonnable. En termes très vagues, Amazon et leur auditeur PCI ont alors une sorte de droit fiduciaire dans le cas d'une marguerite de la part de la marguerite.
Voir également:
- http://securosis.com/blog/what-amazon-awsss-pci-compliance-mes--a-yo
- http://aws.amazon.com/security/pcididsss-level-1-compliance-faqs
Mise à jour: L'objectif de contrôle correspondant pour vous en tant que client est celui-ci: 2.4 Les fournisseurs d'hébergement doivent protéger l'environnement et les données hébergées de chaque entité. Ces fournisseurs doivent répondre aux exigences spécifiques telles que décrites dans l'annexe A: "PCI DSS applicabilité pour les fournisseurs d'hébergement"
Au moins dans mon interprétation, Amazon doit principalement faire face aux quatre contrôles spécifiés dans A.1. Il y a beaucoup d'autres qui ne comptent pas, et certains qui font. Je ne sais pas ce que votre auditeur est capable d'obtenir, mais comme je comprends sans documentation devant moi: Amazon a passé sans remarque. Cela signifie qu'ils ont été examinés de manière indépendante pour répondre à tous ces objectifs. Dans cet esprit, le reste de la charge est sur votre entreprise de rencontrer tout ce qui est pertinent pour ce qui est à l'intérieur de l'instance.
Les auditeurs n'ont pas toujours raison. Vous trouverez peut-être la peine d'engager un autre auditeur. Vous pouvez trouver que je me trompe (bien que je suis convaincu que j'ai cela). Au moins vous n'avez pas ceci: https://serverfault.com/questions/293217/our-security-auditor-is-an-iiot-how-do-give-him-the-information -Il-veut