Adakah yang telah mencapai kepatuhan PCI Level 1 pada AWS?

9

Semua FAQ, dokumen, dan pernyataan yang diterbitkan oleh AWS, apakah sudah ada pedagang Level 1 yang benar-benar mencapai kepatuhan PCI pada AWS? Kami sedang mengevaluasi pemindahan beberapa layanan kami ke EC2 / VPC, tetapi auditor kami mengatakan bahwa AWS tidak kooperatif ketika klien mereka yang lain berusaha mencapai kepatuhan dan harus pergi ke Rackspace sebagai gantinya. Masalah yang mereka hadapi adalah,

  • AWS tidak memberikan daftar kontrol terperinci yang dinilai dalam audit PCI AWS sendiri, sehingga tidak mungkin bagi auditor untuk menandai item mana yang dilindungi oleh AWS dan yang merupakan tanggung jawab klien
  • AWS tidak mengklarifikasi bagaimana hypervisor dinilai dan tes mana yang dilakukan untuk memastikan isolasi penyewa

Pembaruan: Pertanyaan ini awalnya ditanyakan di StackExchange, tetapi ditolak karena tidak sesuai untuk situs itu /programming/6851259/has-anyone-achilled-level-1-pci-compliance-on-aws

Boris Slobodin
sumber

Jawaban:

4

Saya sarankan untuk tidak mencoba memecahkan masalah AWS sendiri.

Tanyakan kepada auditor Anda apakah ia akan menerima laporan audit SAS 70 Tipe 2 AWS mengenai kepatuhan PCI: ini berarti bahwa auditor eksternal mengaudit AWS untuk keamanan PCI mengenai klien AWS dan mengeluarkan laporan. Auditor Anda pada dasarnya menggaruknya. Jika auditor tidak mau menerima laporan ini, tanyakan kepada manajemennya mengapa ia tidak dan apakah mereka mematuhi aturan AICPA (lihat Gotchas di bawah ini).

Jika AWS tidak mau menjalani proses audit standar, mereka pada dasarnya merusak seluruh posisi pasar mereka terkait PCI Compliance => pemrosesan kartu kredit, jadi saya tidak bisa membayangkan mereka tidak akan bekerja sama. Lihat misalnya salah satu dari lima besar ... misalnya empat perusahaan akuntan yang menyediakan audit SAS70 dan Wikipedia di SAS70

Gotchas: SAS 70 tipe 2 tidak menentukan secara pasti apa yang harus diaudit, jadi Anda harus memastikan auditor Anda setuju dengan ruang lingkup audit sebelumnya: 2 masalah yang dihadapi auditor menjadi titik kasus. Catatan: SAS 70 tipe 2 adalah standar audit AS yang telah ada selama beberapa waktu, mungkin ada versi / standar yang diperbarui untuk ini. Jika Anda berada di negara lain, mungkin ada persyaratan lain, tetapi SAS 70 tipe 2 sangat banyak digunakan secara internasional.

Namun, mungkin saja auditor Anda benar-benar memiliki laporan SAS 70 tipe 2 tentang AWS dan menganggap cakupannya tidak cukup luas, atau auditnya buruk, atau temuan / kesimpulan yang dihasilkan negatif.

Reiniero
sumber
1
Auditor telah dengan jelas menyatakan bahwa agar mereka dapat melanjutkan dengan audit infrastruktur berbasis AWS kami, mereka perlu melihat daftar kontrol terperinci yang dinilai oleh QSA untuk audit PCI dan SAS 70 tipe 2 tidak akan berlaku di kasus ini. Saya berpendapat sama seperti Anda, bahwa Amazon jelas berusaha memposisikan diri sebagai penyedia ramah PCI, namun dari sudut pandang auditor, mereka tidak bekerja sama dengan QSA yang mencoba untuk mendapatkan informasi dari mereka di masa lalu, yaitu cukup membingungkan bagi saya untuk sedikitnya. Saya berharap seseorang berhasil, maka pertanyaan ini.
Boris Slobodin
Ok, cukup jelas. Masih aneh bahwa AWS tidak akan bekerja sama jika permintaan itu valid / masuk akal, dan bahwa SAS70 tidak akan berlaku, tapi saya bukan ahli PCI ... Semoga seseorang berdentang dalam mencapai kepatuhan, seperti yang Anda minta.
reiniero