云计算PCI合规:这可能吗?

日期: 2012-01-30 作者:Charles Denyer翻译:Ping 来源:TechTarget中国 英文

问:一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?   答:这是可能的,但要记住,在作出这样一个大胆的、绝对的和明确的声明前,各个领域的PCI合规都需要深入研究。   首先,“云计算”一词可以有任何多种不同的含义,每个都以它们自己的方式显著。确保你了解关于云服务提供的确切性质。   也就是说,如果典型的云计算服务可以被定义为“目标用户池在虚拟环境中共享计算资源”,那么如果厂商和服务提供商计划实现PCI合规的话,他们还有很多工作要做。

具体来说,这些组织必须提供真实可信的证据满足PCI DSS所有的12条要求,更加强调确保客户A端的数据到客户B的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?

  答:这是可能的,但要记住,在作出这样一个大胆的、绝对的和明确的声明前,各个领域的PCI合规都需要深入研究。

  首先,“云计算”一词可以有任何多种不同的含义,每个都以它们自己的方式显著。确保你了解关于云服务提供的确切性质。

  也就是说,如果典型的云计算服务可以被定义为“目标用户池在虚拟环境中共享计算资源”,那么如果厂商和服务提供商计划实现PCI合规的话,他们还有很多工作要做。具体来说,这些组织必须提供真实可信的证据满足PCI DSS所有的12条要求,更加强调确保客户A端的数据到客户B的端数据的逻辑分离及保护。此外,这些组织也将提供证据,满足经常被忽视的PCI DSS的附录A部分,其中有明确要求,确保共享宿主环境中的数据分离,比如云计算。

  云计算PCI合规最困难的一个方面是,获得可验证和可靠的审计证据,从而通过合格的安全评估(质量体系评审)签署。许多传统厂商和服务提供商实际上是提供基于云的服务,但他们多次通过亚马逊或微软的云基础设施,而这一点,是很难取得审计证据的。但是,如果实际的供应商或服务提供商通过自己专有搭建的云平台来提供这些服务,验证将不再是一个挑战。

  即使考虑到这一点,每个PCI DSS要求也必须得到验证,一个质量体系评审(QSA)或其他主管审计师必须验证以下两点,(1)12个PCI DSS要求做到位;(2)在12个PCI DSS要求中,并在适用情况下,要真正实现数据在客户端A到客户端B间的分离。不管一个企业是否在其持卡人数据环境中采用云计算服务,验证都是必须的。这不是个简单的任务,但如果云提供商和质量体系评审愿意以有效的方式共同努力,验证是可以做到的。因此,许多领域将需要通过实际上属于附录A范围的检查,附录A中说明了分离和隔离的要求。

相关推荐

  • 如何保护无服务器应用?

    无服务器应用的新趋势有望帮助我们实现云计算的原始梦想。通过无服务器应用,不再有维护基础设施的工作,让你可专注于构建更好的应用,这是非常令人信服并相当强大的……

  • 云是网络攻击的潜在金矿,端到端安全成迫切需求

    为保企业借助云计算进行数字化转型成果不被网络攻击者破坏,企业在部署云服务之初就需要将云安全问题考虑在内,并通过部署整合的安全方案为企业的数据资产护航。

  • “安全即代码”:整合安全团队和DevOps团队

    随着云计算开发和部署变得越来越快且越来越灵活,安全团队意识到,保护云应用和系统部署的唯一有效方法是开发可整合到部署管道的安全控制,以及尽可能自动化……

  • 云服务提供商该为安全负什么责任?

    随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……