¿Alguien ha logrado el cumplimiento de Nivel 1 PCI en AWS?

9

Dejando a un lado todas las preguntas frecuentes, documentos y declaraciones publicadas por AWS, ¿algún comerciante de Nivel 1 realmente logró el cumplimiento de PCI en AWS? Estamos evaluando trasladar algunos de nuestros servicios a EC2 / VPC, pero nuestro auditor dice que AWS no había cooperado cuando sus otros clientes intentaban lograr el cumplimiento y, en su lugar, tuvieron que ir a Rackspace. Los problemas que encontraron fueron,

  • AWS no proporciona una lista detallada de los controles evaluados en la propia auditoría PCI de AWS, lo que hace imposible que el auditor marque qué elementos están cubiertos por AWS y cuáles son responsabilidad del cliente
  • AWS no aclara cómo se evaluó el hipervisor y qué pruebas se realizaron para garantizar el aislamiento del inquilino

Actualización: Esta pregunta se hizo originalmente en StackExchange, pero fue rechazada como no apropiada para ese sitio /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

Boris Slobodin
fuente

Respuestas:

4

Sugeriría no intentar resolver el problema de AWS usted mismo.

Pregúntele a su auditor si aceptará un informe de auditoría SAS 70 Tipo 2 de AWS con respecto al cumplimiento de PCI: esto significa que un auditor externo audita AWS para la seguridad de PCI en relación con los clientes de AWS y emite un informe. Su auditor entonces básicamente lo aprueba. Si el auditor no está dispuesto a aceptar este informe, pregúntele a su gerencia por qué no lo hace y si cumple con las reglas de AICPA (ver Gotchas a continuación).

Si AWS no está dispuesto a someterse a un proceso de auditoría estándar, básicamente socava su posición en el mercado en relación con el cumplimiento de PCI => procesamiento de tarjetas de crédito, por lo que no puedo imaginar que no cooperarían. Vea, por ejemplo, una de las cinco grandes ... cuatro firmas de contadores que realizan auditorías SAS70 y Wikipedia en SAS70

Problemas: SAS 70 tipo 2 no especifica exactamente qué auditar, por lo que debe asegurarse de que su auditor esté de acuerdo con el alcance de la auditoría por adelantado: los 2 problemas que el auditor ha tenido son un caso en cuestión. Nota: SAS 70 tipo 2 es un estándar de auditoría de EE. UU. Que existe desde hace un tiempo, puede haber versiones / estándares actualizados para esto. Si se encuentra en otro país, puede haber otros requisitos, pero SAS 70 tipo 2 es muy utilizado internacionalmente.

Sin embargo, puede ser que su auditor realmente tenga un informe SAS 70 tipo 2 sobre AWS y piense que el alcance no es lo suficientemente extenso, o que la auditoría se realizó mal o que los resultados / conclusiones resultantes fueron negativos.

reiniero
fuente
1
El auditor había declarado claramente que para que ellos incluso puedan proceder con una auditoría de nuestra infraestructura basada en AWS, necesitan ver una lista detallada de los controles evaluados por el QSA para la auditoría PCI y el SAS 70 tipo 2 no sería aplicable en este caso. Soy de la misma opinión que usted, ya que Amazon claramente trata de posicionarse como un proveedor compatible con PCI, pero desde el punto de vista del auditor, no habían cooperado con el QSA tratando de obtener la información de ellos en el pasado, que es bastante desconcertante para mí por decir lo menos. Espero que alguien haya tenido éxito, de ahí esta pregunta.
Boris Slobodin
Ok, lo suficientemente claro. Todavía extraño que AWS no coopere si la solicitud es válida / plausible, y que SAS70 no se aplicaría, pero no soy un experto en PCI ... Espero que alguien intervenga en lograr el cumplimiento, como usted pidió.
reiniero