¿El uso de hosts dedicados de AWS o una instancia dedicada cumplirá con el requisito de PCI DSS?
Por favor refiérase a la sección de comparación:
enlace
Gracias.
Sí, puede usar un host ec2 dedicado, pero no es necesario, solo puede usar el servicio ec2 estándar como parte de su arquitectura. Hay una lista de todos los servicios para los que AWS proporciona el cumplimiento de PCI, lo que lo ayuda a reducir su carga, aquí .
Considero que utilizar un servicio totalmente administrado como Lambda, si está creando algo nuevo, le ahorrará un poco de esfuerzo. También puede consultar una arquitectura sugerida aquí .
Si ingresa a la consola de AWS y luego al Administrador de artefactos, puede descargar el documento PCI que describe lo que AWS se ocupa de usted.
Si está creando una pasarela de pago, tengo una curva de aprendizaje de PCI muy pronunciada por delante, me temo. Vale la pena hablar con un QSA, le ahorrará mucho tiempo.
Según su enlace, un servidor dedicado puede ser suficiente para asegurar el cumplimiento de PCI, pero está lejos de ser seguro.
Dondequiera que fluyan los datos de la tarjeta está dentro del alcance. Si fluye a través de un servidor en un centro de datos, todo el centro de datos está dentro del alcance.
El control del acceso físico al centro de datos forma parte del cumplimiento, al igual que garantizar el acceso adecuado a la máquina real y los datos que podrían volcarse en un registro y quién puede leerlos.
Es posible que AWS pueda garantizar que nadie fuera de su organización puede acceder a ella, pero puede que no. Trabajé para una empresa certificada por PA-DSS con un centro de datos de terceros, pero el verdadero anfitrión de VM era nuestro y el centro de datos fue auditado. El PCI-DSS es quizás un poco más fácil que el PA-DSS, ya que a menudo puede atestiguar que cumple con los requisitos en lugar de ser auditado, pero aún confía en AWS para una parte de su cumplimiento. Eso debería ser respaldado contractualmente realmente.
Lea otras preguntas en las etiquetas pci-dss