Bor*_*din 9 pci-dss amazon-ec2 amazon-web-services
除了 AWS 发布的所有常见问题解答、文档和声明,是否有任何 1 级商家在 AWS 上真正实现了PCI 合规性?我们正在评估将我们的一些服务迁移到 EC2/VPC,但我们的审计员表示,当他们的其他客户试图实现合规性而不得不转而使用 Rackspace 时,AWS 没有合作。他们遇到的问题是,
更新:这个问题最初是在 StackExchange 上提出的,但由于不适合该站点而被否决/sf/ask/479588161/
我建议不要尝试自己解决 AWS 的问题。
询问您的审计员是否接受 AWS 关于 PCI 合规性的 SAS 70 Type 2 审计报告:这意味着外部审计员将审计 AWS 的有关 AWS 客户端的 PCI 安全性并发布报告。然后你的审计员基本上就橡皮图章了。如果审计师不愿意接受这份报告,请询问他的管理层为什么不愿意接受,以及他们是否遵守 AICPA 规则(请参阅下面的陷阱)。
如果AWS不愿意接受这样的标准审计流程,他们基本上会损害他们在PCI合规性=>信用卡处理方面的整个市场地位,所以我无法想象他们不会合作。请参见例如提供 SAS70 审计的五大会计师事务所之一...呃四家会计师事务所以及 有关 SAS70 的维基百科
陷阱:SAS 70 类型 2 没有指定具体要审计的内容,因此您必须确保您的审计师提前同意审计范围:审计师遇到的两个问题就是一个很好的例子。注意:SAS 70 类型 2 是美国审计标准,已经存在了一段时间,可能有更新的版本/标准。如果您在另一个国家/地区,可能会有其他要求,但 SAS 70 类型 2 在国际上广泛使用。
但是,您的审计员可能实际上拥有 AWS 上的 SAS 70 类型 2 报告,并认为范围不够广泛,或者审计做得不好,或者最终的结果/结论是否定的。
| 归档时间: |
|
| 查看次数: |
979 次 |
| 最近记录: |