AWS에서 레벨 1 PCI 준수를 달성 한 사람이 있습니까?


9

AWS가 별도로 발표 한 모든 FAQ, 문서 및 진술에 따르면 레벨 1 판매자는 실제로 AWS에서 PCI 준수를 달성 했습니까? 우리는 일부 서비스를 EC2 / VPC로 이전하는 것을 평가하고 있지만, 감사인은 다른 고객이 규정 준수를 달성하려고 할 때 AWS가 협력하지 않았으며 대신 랙 스페이스로 이동해야한다고 말했습니다. 그들이 겪은 문제는

  • AWS는 AWS 자체 PCI 감사에서 평가 된 항목 별 제어 목록을 제공하지 않기 때문에 감사자가 AWS에서 다루고있는 항목과 고객의 책임을 표시 할 수 없습니다.
  • AWS는 하이퍼 바이저의 평가 방법과 테넌트 격리를 보장하기 위해 수행 된 테스트를 명확하게 밝히지 않았습니다.

업데이트 : 이 질문은 원래 StackExchange에서 요청되었지만 해당 사이트에 적합하지 않은 것으로 투표되었습니다 /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

답변:


4

AWS 문제를 직접 해결하지 않는 것이 좋습니다.

감사 자에게 PCI 준수와 관련하여 AWS의 SAS 70 Type 2 감사 보고서를 수락 할 것인지 물어보십시오. 이는 외부 감사자가 AWS 클라이언트와 관련된 PCI 보안을 위해 AWS를 감사하고 보고서를 발행한다는 것을 의미합니다. 그런 다음 감사자는 기본적으로 고무 도장을 찍습니다. 감사인이이 보고서를 기꺼이 받아들이지 않을 경우 경영진에게 왜 그렇지 않은지, AICPA 규칙을 준수하는지 문의하십시오 (아래의 Gotchas 참조).

AWS가 이러한 표준 감사 프로세스를 기꺼이하지 않으면 기본적으로 PCI 컴플라이언스 => 신용 카드 처리와 관련하여 전체 시장 위치를 ​​훼손하므로 협력하지 않을 것이라고 상상할 수 없습니다. SAS70에 SAS70 감사Wikipedia를 제공하는 5 대 회계사 중 하나를 참조하십시오.

문제점 : SAS 70 유형 2는 감사 대상을 정확하게 지정하지 않으므로 감사자가 감사 범위에 미리 동의해야합니다. 감사인이 문제가 된 2 가지 문제. 참고 : SAS 70 유형 2는 미국 감사 표준으로 오랫동안 사용되었으며 업데이트 된 버전 / 표준이있을 수 있습니다. 다른 국가에있는 경우 다른 요구 사항이있을 수 있지만 SAS 70 유형 2는 국제적으로 매우 널리 사용됩니다.

그러나 감사자가 실제로 AWS에 대한 SAS 70 유형 2 보고서를 가지고 있고 범위가 충분히 광범위하지 않거나 감사가 잘못 수행되었거나 결과 / 결론이 부정적이라고 생각할 수 있습니다.


1
감사관은 AWS 기반 인프라에 대한 감사를 진행하기 위해 QSA가 PCI 감사를 위해 평가 한 항목 별 제어 목록을 확인해야하며 SAS 70 유형 2는 해당되지 않음을 분명히 밝혔습니다. 이 경우. 아마존은 분명히 PCI 친화적 인 공급자로 자리 매김하려고하지만 감사관의 입장에서는 과거에 QSA와 협력하지 않았기 때문에 본인과 같은 의견을 가지고 있습니다. 가장 말을 많이하지 않는 것이 저에게 수수께끼입니다. 나는 누군가가 성공하기를 바라고 있기 때문에이 질문입니다.
Boris Slobodin

알았어 요청이 유효하고 그럴듯하고 SAS70이 적용되지 않을 경우 AWS가 협력하지 않을 것이지만, PCI 전문가는 아닙니다. 누군가가 요구 한대로 규정 준수를 달성 한 사람이있을 수 있기를 바랍니다.
reiniero
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.