Question Quelqu'un at-il atteint la conformité PCI de niveau 1 sur AWS?


Toutes les FAQ, documents et déclarations publiés par AWS, à part un commerçant de niveau 1 réaliser réellement Conformité PCI sur AWS? Nous envisageons de transférer certains de nos services vers EC2 / VPC, mais notre auditeur a déclaré qu'AWS n'avait pas coopéré lorsque leurs autres clients essayaient de se mettre en conformité et devaient plutôt se tourner vers Rackspace. Les problèmes qu'ils ont rencontrés étaient,

  • AWS ne fournit pas une liste détaillée des contrôles évalués dans l'audit PCI d'AWS, ce qui empêche le vérificateur de déterminer quels éléments sont couverts par AWS et lesquels relèvent du client.
  • AWS ne précise pas comment l’hyperviseur a été évalué et quels tests ont été effectués pour garantir l’isolation du locataire

Mettre à jour: Cette question a été posée à l'origine sur StackExchange, mais a été rejetée car non appropriée pour ce site. https://stackoverflow.com/questions/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws


9
2017-07-28 07:29


origine




Réponses:


Je suggérerais de ne pas essayer de résoudre le problème d'AWS vous-même.

Demandez à votre auditeur s'il acceptera un rapport d'audit AWS SAS 70 Type 2 concernant la conformité PCI: cela signifie qu'un auditeur externe audite AWS pour la sécurité PCI des clients AWS et publie un rapport. Votre auditeur l’applique ensuite. Si l'auditeur n'est pas disposé à accepter ce rapport, demandez à sa direction pourquoi il ne le fait pas et si elle respecte les règles de l'AICPA (voir la section intitulée Gotchas ci-dessous).

Si AWS ne souhaite pas se soumettre à un tel processus d'audit standard, il sape fondamentalement toute sa position sur le marché en ce qui concerne le respect de la conformité PCI => du traitement des cartes de crédit. Je ne peux donc pas imaginer qu'ils ne coopéreraient pas. Voir par exemple l'un des cinq grands ... eeh quatre cabinets comptables fournissant des audits SAS70 et Wikipedia sur SAS70

Gotchas: SAS 70 type 2 ne spécifie pas exactement ce qu’il faut auditer, vous devez donc vous assurer que votre auditeur est d’accord sur la portée de l’audit: les deux problèmes que l’auditeur a évoqués. Remarque: SAS 70 Type 2 est une norme d’audit américaine en vigueur depuis un certain temps. Il existe peut-être une mise à jour des versions / normes pour cela. Si vous vous trouvez dans un autre pays, il peut y avoir d'autres exigences, mais SAS 70 type 2 est très largement utilisé à l'échelle internationale.

Cependant, il se peut que votre auditeur dispose réellement d'un rapport SAS 70 Type 2 sur AWS et pense que la portée n'est pas assez étendue, ou que l'audit a été mal effectué ou que les conclusions / conclusions qui en ont résulté étaient négatives.


4
2017-07-28 08:38



L’auditeur avait clairement indiqué que, pour pouvoir même procéder à un audit de notre infrastructure AWS, il leur fallait voir une liste détaillée des contrôles évalués par le QSA pour l’audit PCI et que le SAS 70 type 2 ne serait pas applicable. ce cas. Je suis du même avis que vous, dans la mesure où Amazon tente clairement de se positionner en tant que fournisseur respectueux du PCI, mais du point de vue de l'auditeur, il n'avait pas coopéré avec le QSA dans le passé, ce qui est assez déroutant pour moi pour le moins qu'on puisse dire. J'espère que quelqu'un a réussi, d'où cette question. - Boris Slobodin
Ok, assez clair. Il est toujours étrange qu'AWS ne coopère pas si la demande est valide / plausible, et que le SAS70 ne s'applique pas, mais je ne suis pas un expert du PCI. J'espère que quelqu'un déterminera qui a atteint la conformité, comme vous l'avez demandé. - reiniero