AWSでPCIコンプライアンスを達成した人はいますか?
AWS以外に公開されたすべてのFAQ、ドキュメント、ステートメントは、レベル1のマーチャントまたはサービスプロバイダー実際に達成 AWSでのPCIコンプライアンスはまだですか?一部のサービスをEC2/VPCに移行することを評価していますが、監査人は、他のクライアントがコンプライアンスを達成しようとしてAWSは協力的でなく、代わりにRackspaceに移動する必要があったと述べています。彼らが遭遇した問題は、
- AWSはAWSのPCI監査で評価された統制の項目別リストを提供していないため、監査人がAWSでカバーされている項目とクライアントの責任である項目をマークすることは不可能です
- AWSは、ハイパーバイザーがどのように評価され、どのテストがテナントの分離を確実にするために実行されたかを明らかにしていません
アマゾンにはタイプII SAS 70レポートがあります。その詳細なコピーを要求すると、所持しているすべてのコントロールが表示されます。人々がアマゾンに間違った質問をしているかもしれません。簡単なメモとしてSAS 70将来のテストはSOCと呼ばれます-会計業界の癖の1つです。
特にアマゾン規模の企業の場合、レポートを見て、それが妥当であることを確認し、デューデリジェンスを実施したことを宣言します。あいまいな言葉で言えば、アマゾンとそのPCI監査人は、フーピーデイジーの場合、ある種の受託者責任を負います。
以下も参照してください。
- http://securosis.com/blog/what-Amazon-awss-pci-compliance-means-to-yo
- http://aws.Amazon.com/security/pci-dss-level-1-compliance-faqs
更新:クライアントとしての関連する制御目標は次のとおりです:2.4ホスティングプロバイダーは、各エンティティのホスト環境とデータを保護する必要があります。これらのプロバイダーは、付録A「PCI DSS Hosting Providersへの適用性」で詳述されている特定の要件を満たしている必要があります。
少なくとも私の解釈では、Amazonは主にA.1で指定された4つのコントロールを処理する必要があります。重要でない他の多くがあり、重要なものもあります。私はあなたの監査人が何を得ることができるかわかりません、しかし私の前に文書なしで理解しているように:アマゾンは発言なしで通過しました。つまり、それらはすべての目的を達成するために独立して見直されています。それを念頭に置いて、残りの負担は、インスタンス内にあるものに関連する他のすべてを満たすためにあなたの会社にあります。
監査人は常に正しいとは限りません。別の監査人を雇うことは価値があるかもしれません。あなたは私が間違っていることに気付くかもしれません(私はこれを持っていると確信していますが)。少なくともこれはありません: https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information -he-wants