我们正在开发一款网络应用程序,用于处理客户(受众是中型到大型企业)高度敏感的(财务)数据。客户将受到监管机构和审计师的严格审查,因此我们也会受到严格审查。更重要的是,为了让客户感到安心,我们的应用程序和相关托管安排应该会给他们带来很大的信心。
我们正在考虑使用基于云的服务,例如 Linode、Amazon EC2 等。为了实现最大的灵活性,我们热衷于将所有内容放在虚拟服务器上,从而避免购买自己的硬件。
基于云的服务是否适合我们的特定场景?如果不适合,我们应该考虑哪种类型的托管?如果适合,我们应该注意什么?
谢谢!
答案1
如果不亲自操作,很难找到安全的基础设施。您可能无法完全保护存储在 Amazon EC2 等托管环境中的数据。具体来说,对于信用卡存储和 PCI,通常建议不要将数据存储在这些环境中。
即使拥有专用服务器也无法满足存储数据的 PCI 要求,因为您需要物理保护空间并控制物理访问。
为了满足大多数安全要求,您需要拥有自己的空间,并配备访问控制和物理安全。例如,共享数据中心内的全封闭笼子可以满足要求。大多数较低级别的产品(例如虚拟专用服务器和专用服务器)不太可能满足要求。
适用的法规将针对数据而独有,这将有助于明确确切的要求。如果你想知道你将要进入什么,你可以看看支付卡行业数据安全标准。
祝你好运。
答案2
如果您能找到一位审计师,他同意将敏感财务数据放入云中,那么您可能需要停止使用 Dewey、Cheatem 和 Howe。说真的,敏感数据的托管需要由获得 SAS 70 认证的公司来完成,并允许审计师检查他们的程序(Sungard 是一个潜在来源)。在美国,大多数财务 IT 审计表格都不喜欢听到托管这个词,因为它意味着您无法控制数据 - 这是一个问题。从成本角度来看,我怀疑您会发现使用托管服务的成本要比在某个地方获得共置空间的成本高得多。
答案3
我认为 Verizon 的 CaaS 产品可以满足这一要求,而且他们的 ROC 可以让您高枕无忧。他们习惯于处理 PCI 合规性(以及更严格的 HIPPA 和银行要求)。虽然不是最便宜的,但他们可以提供非常高水平的服务。
免责声明,我是中华民国的 SA。