Quelqu'un a-t-il atteint la conformité PCI de niveau 1 sur AWS?

9

Mis à part toutes les FAQ, documents et déclarations publiés par AWS, un marchand de niveau 1 a-t-il déjà atteint la conformité PCI sur AWS? Nous évaluons le transfert de certains de nos services vers EC2 / VPC, mais notre auditeur dit qu'AWS n'avait pas coopéré lorsque leurs autres clients essayaient de se mettre en conformité et devaient plutôt se rendre à Rackspace. Les problèmes qu'ils ont rencontrés étaient,

  • AWS ne fournit pas de liste détaillée des contrôles évalués dans le cadre du propre audit PCI d'AWS, ce qui rend impossible pour l'auditeur de marquer quels éléments sont couverts par AWS et lesquels relèvent de la responsabilité du client.
  • AWS ne précise pas comment l'hyperviseur a été évalué et quels tests ont été effectués pour garantir l'isolement des locataires

Mise à jour: Cette question a été initialement posée sur StackExchange, mais a été rejetée comme non appropriée pour ce site /programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws

Boris Slobodin
la source

Réponses:

4

Je vous suggère de ne pas essayer de résoudre vous-même le problème d'AWS.

Demandez à votre auditeur s'il acceptera un rapport d'audit SAS 70 Type 2 d'AWS concernant la conformité PCI: cela signifie qu'un auditeur externe audite AWS pour la sécurité PCI concernant les clients AWS et émet un rapport. Votre vérificateur les tamponne ensuite en gros. Si l'auditeur n'est pas disposé à accepter ce rapport, demandez à sa direction pourquoi il ne l'est pas et si elle respecte les règles de l'AICPA (voir Gotchas ci-dessous cependant).

Si AWS n'est pas disposé à subir un tel processus d'audit standard, ils sapent fondamentalement toute leur position sur le marché concernant la conformité PCI => traitement des cartes de crédit, donc je ne peux pas imaginer qu'ils ne coopéreraient pas. Voir par exemple l' un des cinq grands ... eeh quatre cabinets comptables fournissant des audits SAS70 et Wikipedia sur SAS70

Gotchas: SAS 70 type 2 ne spécifie pas exactement quoi auditer, vous devez donc vous assurer que votre auditeur est d'accord avec la portée de l'audit à l'avance: les 2 problèmes que l'auditeur a sont un bon exemple. Remarque: SAS 70 type 2 est une norme d'audit américaine qui existe depuis un certain temps, il pourrait y avoir des versions / normes mises à jour pour cela. Si vous êtes dans un autre pays, il peut y avoir d'autres exigences, mais SAS 70 type 2 est très largement utilisé à l'international.

Cependant, il se peut que votre auditeur ait en fait un rapport SAS 70 de type 2 sur AWS et pense que la portée n'est pas suffisamment étendue, ou l'audit a été mal fait, ou les constatations / conclusions résultantes étaient négatives.

reiniero
la source
1
L'auditeur avait clairement déclaré que pour qu'il puisse même procéder à un audit de notre infrastructure AWS, il lui fallait voir une liste détaillée des contrôles évalués par le QSA pour l'audit PCI et SAS 70 type 2 ne serait pas applicable dans ce cas. Je suis du même avis que vous, en ce sens qu'Amazon essaie clairement de se positionner en tant que fournisseur compatible PCI, mais du point de vue de l'auditeur, ils n'avaient pas coopéré avec le QSA pour essayer d'obtenir des informations d'eux par le passé, ce qui est assez déroutant pour moi de dire le moins. J'espère que quelqu'un a réussi, d'où cette question.
Boris Slobodin
Ok, assez clair. C'est toujours étrange qu'AWS ne coopère pas si la demande est valide / plausible, et que SAS70 ne s'applique pas, mais je ne suis pas un expert PCI ... J'espère que quelqu'un sonnera qui a atteint la conformité, comme vous l'avez demandé.
reiniero