Alguém conseguiu a conformidade com o PCI nível 1 na AWS?

9

Com exceção de todas as perguntas frequentes, documentos e declarações publicados pela AWS, algum comerciante de nível 1 já atingiu a conformidade com a PCI na AWS? Estamos avaliando a transferência de alguns de nossos serviços para o EC2 / VPC, mas nosso auditor está dizendo que a AWS não cooperou quando seus outros clientes estavam tentando obter conformidade e, em vez disso, precisou ir para a Rackspace. Os problemas que eles encontraram foram,

  • A AWS não está fornecendo uma lista detalhada de controles avaliados na auditoria PCI da própria AWS, tornando impossível ao auditor marcar quais itens são cobertos pela AWS e quais são de responsabilidade do cliente
  • A AWS não está esclarecendo como o hipervisor foi avaliado e quais testes foram realizados para garantir o isolamento do inquilino

Atualização: esta pergunta foi originalmente feita no StackExchange, mas foi rejeitada como inadequada para o site /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

Boris Slobodin
fonte

Respostas:

4

Sugiro não tentar resolver o problema da AWS por conta própria.

Pergunte ao seu auditor se ele aceitará um relatório de auditoria SAS 70 Tipo 2 da AWS sobre conformidade com PCI: isso significa que um auditor externo audita a segurança da AWS para PCI quanto a clientes da AWS e emite um relatório. Seu auditor basicamente o reprova. Se o auditor não estiver disposto a aceitar este relatório, pergunte à sua gerência por que ele não está e se eles cumprem as regras da AICPA (veja Gotchas abaixo).

Se a AWS não estiver disposta a se submeter a um processo de auditoria padrão, eles basicamente minarão toda a sua posição de mercado em relação à conformidade com o PCI => processamento de cartão de crédito, então não consigo imaginar que eles não cooperariam. Veja, por exemplo, uma das cinco grandes ... eeh quatro empresas de contabilidade que fornecem auditorias ao SAS70 e Wikipedia no SAS70

Dicas: O SAS 70 tipo 2 não especifica exatamente o que auditar, portanto, você deve certificar-se de que seu auditor concorda previamente com o escopo da auditoria: as 2 questões em que o auditor está sendo um exemplo. Nota: O SAS 70 tipo 2 é um padrão de auditoria dos EUA que existe há algum tempo; pode haver versões / padrões atualizados para isso. Se você estiver em outro país, pode haver outros requisitos, mas o SAS 70 tipo 2 é muito usado internacionalmente.

No entanto, pode ser que o seu auditor realmente tenha um relatório SAS 70 tipo 2 na AWS e pense que o escopo não é amplo o suficiente, ou a auditoria foi mal realizada ou as conclusões / conclusões resultantes foram negativas.

reiniero
fonte
1
O auditor declarou claramente que, para que eles continuem com uma auditoria de nossa infraestrutura baseada na AWS, eles precisam ver uma lista detalhada de controles avaliados pelo QSA para a auditoria PCI e o SAS 70 tipo 2 não seria aplicável em este caso. Sou da mesma opinião que você, pois a Amazon claramente tenta se posicionar como um fornecedor compatível com PCI, mas, do ponto de vista do auditor, eles não cooperaram com o QSA tentando obter as informações deles no passado, o que é bastante intrigante para mim, para dizer o mínimo. Espero que alguém tenha sucesso, daí esta pergunta.
Boris Slobodin
Ok, claro o suficiente. Ainda é estranho que a AWS não coopere se a solicitação for válida / plausível e que o SAS70 não se aplique, mas eu não sou um especialista em PCI ... Espero que alguém entre em contato com quem alcançou a conformidade, como você pediu.
Reiniero