¿Alguien ha logrado el cumplimiento de PCI en AWS?

25

Aparte de todas las preguntas frecuentes, documentos y declaraciones publicadas por AWS, ¿algún comerciante o proveedor de servicios de Nivel 1 realmente logró el cumplimiento de PCI en AWS todavía? Estamos evaluando trasladar algunos de nuestros servicios a EC2 / VPC, pero nuestro auditor dice que AWS no había cooperado cuando sus otros clientes estaban tratando de lograr el cumplimiento y tenían que ir a Rackspace. Los problemas que se encontraron fueron,

  • AWS no proporciona una lista detallada de los controles evaluados en la propia auditoría de PCI de AWS, lo que hace imposible que el auditor marque qué elementos están cubiertos por AWS y cuáles son responsabilidad del cliente.
  • AWS no está aclarando cómo se evaluó el hipervisor y qué pruebas se realizaron para garantizar el aislamiento del inquilino
pregunta Boris Slobodin 28.07.2011 - 17:26
fuente

1 respuesta

16

Amazon tiene un informe SAS II de Tipo II. Solicitar una copia detallada de eso debe mostrar todos los controles que tienen en su lugar. Puede que la gente le esté haciendo a Amazon las preguntas equivocadas. Como nota rápida, las pruebas de SAS 70 en el futuro se conocerán como SOC, una de esas peculiaridades de la industria contable.

Especialmente en una empresa del tamaño de Amazon, uno mira el informe, ve que es razonable y declara que ha cumplido con la diligencia debida. En términos muy vagos, Amazon y su auditor de PCI tienen entonces algún tipo de deber fiduciario en el caso de una margarita-whoopsie de su parte.

Ver también:

Actualización: el objetivo de control relevante para usted como cliente es este: 2.4 Los proveedores de hosting deben proteger el entorno alojado de cada entidad y datos. Estos proveedores deben cumplir requisitos específicos como se detalla en Apéndice A: “Aplicabilidad PCI DSS para Proveedores de alojamiento ".

Al menos en mi interpretación, Amazon tiene que lidiar principalmente con los cuatro controles especificados en A.1. Hay muchos otros que no importan, y algunos que sí lo hacen. No sé qué es lo que su auditor puede obtener, pero como entiendo sin documentación delante de mí: Amazon ha pasado sin comentarios. Eso significa que han sido revisados independientemente para cumplir con todos esos objetivos. Con eso en mente, el resto de la carga recae en su empresa para cumplir con todo lo demás que sea relevante para lo que está dentro de la instancia.

Los auditores no siempre tienen la razón. Puede que valga la pena contratar a otro auditor. Puedes encontrar que estoy equivocado (aunque estoy seguro de que tengo esto). Al menos no tiene esto: enlace

    
respondido por el Jeff Ferland 31.07.2011 - 23:35
fuente

Lea otras preguntas en las etiquetas