Hat jemand die PCI-Konformität der Stufe 1 in AWS erreicht?

9

Abgesehen von allen von AWS veröffentlichten FAQs, Dokumenten und Aussagen hat ein Level 1-Händler tatsächlich die PCI-Konformität für AWS erreicht? Wir prüfen die Verlagerung einiger unserer Services auf EC2 / VPC, aber unser Prüfer sagt, dass AWS nicht kooperativ war, als die anderen Kunden versuchten, Compliance zu erreichen, und stattdessen zu Rackspace gehen mussten. Die Probleme, auf die sie stießen, waren:

  • AWS bietet keine detaillierte Liste der Kontrollen, die im Rahmen des AWS-eigenen PCI-Audits bewertet wurden. Daher kann der Prüfer nicht markieren, welche Punkte von AWS abgedeckt werden und welche in der Verantwortung des Kunden liegen
  • AWS klärt nicht, wie der Hypervisor bewertet wurde und welche Tests durchgeführt wurden, um die Isolation der Mieter sicherzustellen

Update: Diese Frage wurde ursprünglich bei StackExchange gestellt, aber für diese Site als nicht geeignet eingestuft. Https://stackoverflow.com/questions/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

Boris Slobodin
quelle

Antworten:

4

Ich würde vorschlagen, das Problem von AWS nicht selbst zu lösen.

Fragen Sie Ihren Prüfer, ob er einen SAS 70 Typ 2-Prüfbericht von AWS zur PCI-Konformität akzeptiert. Dies bedeutet, dass ein externer Prüfer AWS auf PCI-Sicherheit in Bezug auf AWS-Clients prüft und einen Bericht erstellt. Ihr Auditor stempelt es dann grundsätzlich ab. Wenn der Prüfer diesen Bericht nicht akzeptieren möchte, fragen Sie sein Management, warum dies nicht der Fall ist und ob die AICPA-Regeln eingehalten werden (siehe jedoch Gotchas unten).

Wenn AWS nicht bereit ist, sich einem solchen Standardprüfungsprozess zu unterziehen, untergraben sie im Grunde ihre gesamte Marktposition in Bezug auf PCI-Konformität => Kreditkartenverarbeitung, sodass ich mir nicht vorstellen kann, dass sie nicht kooperieren würden. Siehe z. B. eine der fünf großen ... eeh vier Wirtschaftsprüfungsgesellschaften, die SAS70-Audits und Wikipedia auf SAS70 anbieten

Fallstricke: SAS 70 Typ 2 legt nicht genau fest, was geprüft werden soll. Sie müssen daher sicherstellen, dass Ihr Prüfer dem Umfang der Prüfung im Voraus zustimmt: Die beiden Probleme, die der Prüfer hat, sind ein typisches Beispiel. Hinweis: SAS 70 Typ 2 ist ein US-amerikanischer Prüfungsstandard, den es schon seit einiger Zeit gibt. Möglicherweise gibt es dafür aktualisierte Versionen / Standards. Wenn Sie sich in einem anderen Land befinden, gibt es möglicherweise andere Anforderungen, aber SAS 70 Typ 2 ist international sehr verbreitet.

Es kann jedoch sein, dass Ihr Prüfer tatsächlich über einen SAS 70 Typ 2-Bericht zu AWS verfügt und der Ansicht ist, dass der Umfang nicht umfangreich genug ist oder dass die Prüfung schlecht durchgeführt wurde oder die daraus resultierenden Ergebnisse / Schlussfolgerungen negativ waren.

reiniero
quelle
1
Der Prüfer hatte klar erklärt, dass er eine detaillierte Liste der von der QSA für das PCI-Audit bewerteten Kontrollen sehen muss, damit sie überhaupt mit einer Prüfung unserer AWS-basierten Infrastruktur fortfahren können, und SAS 70 Typ 2 wäre in nicht anwendbar dieser Fall. Ich bin der gleichen Meinung wie Sie, da Amazon eindeutig versucht, sich als PCI-freundlicher Anbieter zu positionieren, aber aus Sicht des Wirtschaftsprüfers in der Vergangenheit nicht mit der QSA zusammengearbeitet hatte, um die Informationen von ihnen zu erhalten ziemlich rätselhaft für mich, um es gelinde auszudrücken. Ich hoffe, dass es jemandem gelungen ist, daher diese Frage.
Boris Slobodin
Ok, klar genug. Immer noch seltsam, dass AWS nicht kooperieren würde, wenn die Anfrage gültig / plausibel ist, und dass SAS70 nicht zutreffen würde, aber ich bin kein PCI-Experte ... Ich hoffe, jemand mischt sich ein, der die Konformität erreicht hat, wie Sie gefragt haben.
Reiniero