Amazon tiene un informe SAS II de Tipo II. Solicitar una copia detallada de eso debe mostrar todos los controles que tienen en su lugar. Puede que la gente le esté haciendo a Amazon las preguntas equivocadas. Como nota rápida, las pruebas de SAS 70 en el futuro se conocerán como SOC, una de esas peculiaridades de la industria contable.
Especialmente en una empresa del tamaño de Amazon, uno mira el informe, ve que es razonable y declara que ha cumplido con la diligencia debida. En términos muy vagos, Amazon y su auditor de PCI tienen entonces algún tipo de deber fiduciario en el caso de una margarita-whoopsie de su parte.
Ver también:
Actualización: el objetivo de control relevante para usted como cliente es este: 2.4 Los proveedores de hosting deben proteger
el entorno alojado de cada entidad y
datos. Estos proveedores deben cumplir
requisitos específicos como se detalla en
Apéndice A: “Aplicabilidad PCI DSS para
Proveedores de alojamiento ".
Al menos en mi interpretación, Amazon tiene que lidiar principalmente con los cuatro controles especificados en A.1. Hay muchos otros que no importan, y algunos que sí lo hacen. No sé qué es lo que su auditor puede obtener, pero como entiendo sin documentación delante de mí: Amazon ha pasado sin comentarios. Eso significa que han sido revisados independientemente para cumplir con todos esos objetivos. Con eso en mente, el resto de la carga recae en su empresa para cumplir con todo lo demás que sea relevante para lo que está dentro de la instancia.
Los auditores no siempre tienen la razón. Puede que valga la pena contratar a otro auditor. Puedes encontrar que estoy equivocado (aunque estoy seguro de que tengo esto). Al menos no tiene esto: enlace