除了 AWS 发布的所有常见问题解答、文档和声明之外,任何一级商家是否真正实现AWS 是否已符合 PCI 合规性?我们正在评估将部分服务迁移到 EC2/VPC,但我们的审计员表示,当其他客户试图实现合规性时,AWS 并未配合,因此不得不转而使用 Rackspace。他们遇到的问题是:
- AWS 没有提供 AWS 自身 PCI 审计中评估的控制措施的逐项列表,这使得审计人员无法标记 AWS 涵盖了哪些项目以及哪些项目是客户的责任
- AWS 并未明确说明如何评估虚拟机管理程序,以及执行了哪些测试以确保租户隔离
更新:这个问题最初是在 StackExchange 上提出的,但被否决为不适合该网站https://stackoverflow.com/questions/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws
答案1
我建议不要尝试自己解决 AWS 的问题。
询问您的审计员是否接受 AWS 关于 PCI 合规性的 SAS 70 Type 2 审计报告:这意味着外部审计员将审计 AWS 客户的 PCI 安全性并发布报告。然后您的审计员基本上会盖章批准。如果审计员不愿意接受这份报告,请询问他的管理层为什么不接受,以及他们是否遵守 AICPA 规则(但请参阅下面的陷阱)。
如果 AWS 不愿意接受这样标准的审计流程,他们基本上会破坏其在 PCI 合规性 => 信用卡处理方面的整个市场地位,所以我无法想象他们不会合作。参见例如五大会计师事务所之一……四家提供 SAS70 审计的会计师事务所和 维基百科上的 SAS70
陷阱:SAS 70 类型 2 没有具体规定要审计什么,因此您必须提前确保您的审计员同意审计范围:审计员遇到的 2 个问题就是一个例子。注意:SAS 70 类型 2 是美国审计标准,已经存在一段时间了,可能会有更新的版本/标准。如果您在其他国家/地区,可能会有其他要求,但 SAS 70 类型 2 在国际上被广泛使用。
然而,您的审计师可能实际上有一份关于 AWS 的 SAS 70 类型 2 报告,并认为其范围不够广泛,或者审计做得很糟糕,或者得出的发现/结论是负面的。