我正在寻找托管,ec2 符合 SAS 70 标准(几乎),我本来会直接选择 PCI 标准和第 4 层,但我正在考虑 SAS 70。它们之间有什么区别或相似之处?
答案1
除非您处理信用卡交易,否则 PCI 合规性与您的目的无关。即使 PCI 合规性与您有关,SAS 70 审计对于验证服务器的物理和环境安全性等目的也更为重要。但是,请记住,SAS 70 审计被视为组织(在本例中为数据中心)被其客户及其客户的审计师反复审计的替代品。与大多数组织不同,您将踏入数据中心并亲自观察许多控制措施。但是,您仍会请求报告副本并进行审查。确保它是最新的。理想情况下,他们进行的是 SAS 70 类型 2 审计,而不是 SAS 70 类型 1 审计。验证审计师的意见书是无保留意见(良好)还是保留意见(意味着问题非常重要,因此被纳入信函中),以及范围是否与所提供的服务相关。
答案2
免责声明 - 我为符合 SAS 70 type II 标准且经过 PCI DSS 验证的服务提供商工作。
PCI DSS 是一组必须满足的特定技术要求。SAS 70 是对您的控制和程序的审计。
答案3
需要注意的是,您可以符合 SAS70 要求,但不能符合 PCI DSS 要求。两者之间并无关联。它们是具有不同目标的不同合规流程。
答案4
正如 rorr 所说:PCI DSS 是一组必须满足的特定技术要求。SAS 70 是对控制和程序的审计。
暂时无法评论,所以以答案的形式:我想补充一点,SAS 70(类型 1 或 2)实际上可以对任何内容进行审计。(因此它可以是财务审计、防火/备份/恢复审计、美国 HIPAA 等)。审计涵盖的内容由其范围决定,该范围应在聘用审计员的合同中(并在审计报告中返回)。
据我所知,PCI DSS 控制有特定的审计指南;您可以让审计员针对这些控制执行 SAS70 类型 2 审计=>结果:当您获得 PCI 审计员时,您可以放弃报告(假设它是无保留意见,如其他地方所述)。但请确保 SAS70 类型 2 报告涵盖了正确的内容。
您也完全有可能获得托管商的非 SAS70 形式的 PCI DSS 认证...