本篇文章2046字,读完约5分钟
支付卡领域的数据安全标准最近更新为pci dss 3.0。 在pci管理的基础架构中采用云计算有三个最相关的新要求: pci dss 3.0。
最近,支付数据安全标准( PC IDSS )更新为新版本PCIDSS3.0。 在某些行业,新的要求可能会影响支持此标准的企业、服务提供商、云计算和其他服务的合规性计划。 其中,云计算最受影响的行业是持卡人数据环境( cde )与云计算相互采用的情况。
企业会注意到,云计算中的pci dss合规性是一个复杂而困难的话题,甚至公开了整个pci安全标准委员会如何在pci环境中采用云计算。 但是,pci 3.0有几个方面,这可能已经使许多复杂的情况变成更多复杂的情况。 这并不是因为3.0版有专门针对新语言和云计算情况的新要求,实际上并不是。 此外,这也不是因为它将取代上述准则。 相反,这种混乱是由于新要求的影响,云计算不容易处理和维护。
pci dss 3.0的区别是什么?
pci dss 3.0有三个与在pci管理的基础架构中采用云计算最相关的新要求。
req.2.4:「PCIDSS范围内的系统组件的库存管理”
req. 1.1.3 :“显示跨系统和互联网的所有持卡人数据流的当前视图。 ”
req. 12.8.5 :“确保这些pci dss要求由各服务提供商管理,并由公司实体管理。 ”
值得注意的是,这些不是唯一的新要求,也不是在pci环境中采用云计算的唯一要求。 但是,对于采用云计算并已建立pci合规性以处理cde中的招聘的企业来说,这三个要求在未来几个月可能会引起巨大的混乱。 要理解这个理由,需要更深入地理解所有的要求。
盘点和iaas
使用云计算的企业必须注意的第一个要求是系统组件的清单。 在pci dss标准中,pci 3.0文档的第10页描述了“系统组件”的含义,但重要的是它包含虚拟机。 对虚拟环境进行全面调查的企业都知道这有多难,但是云计算部署,特别是作为服务的基础架构部署,比企业直接管理的虚拟环境要复杂得多,尤其是在服务提供商提供支持的情况下 服务提供商支持人员决定是克隆实例以测试修补程序兼容性,还是动态重新定位镜像以应对性能瓶颈。 也就是说,客户现在需要更勤奋地跟踪cde中的实例的创建和处置,以维持库存的更新。
为了做好准备,公司有几个选择。 最坏的情况是,大多数iaas提供商会提供环境中镜像的原始列表或通过控制面板提供该列表以进行计费。 虽然此列表可能不是公司想要的(例如,不显示镜像目的或其中的软件),但至少这是开始。 如果您的公司有服务提供商的专业技术人员支持您的帐户,请考虑在创建库存列表时列出供应商支持。 如果不是大客户,或者云服务提供商不合适,或者价格过高,请考虑使用自动化功能。例如,如果预先在虚拟“金牌镜像”上设置审计代理,则可以扫描不知道的新实例或克隆
数据流和软件即服务
下一个任务是在特定的云计算环境中映射数据流,特别是作为服务的软件( saas )。 与平台服务( PAAs )和iaas不同,在saas中,APP本身是“黑匣子”,这意味着saas的客户被故意从APP中运行的底层机制所屏蔽 例如,当您登录linkedin或facebook时,您知道客户id通过了哪个服务器,或者有多少个不同的数据库连接到了内部后端环境吗? 介意吗? 如果你能正确登录的话,可能不介意。 镜像现在可以满足这一要求,不仅可以了解整个过程,还可以记录数据使用的准确路径。
请记住,在这个标准中,数据流图并不是说“知道不知道”。 如果公司对远程基础架构没有足够的可见性,那么达到这样的详细程度就不一定现实。 另一方面,图表上有箭头的互联网表示,“将pan发送给远程计费提供商”不能满足判断人员的标准,因此需要寻找完全满足判断的中间角度,并不太繁琐,为了公司能够实现 对此,请记录您所知道的内容,让供应商完成测试。 如果无法(或不想)帮助您向下钻取或更详细的信息,请记录这一事实。 你应该向判断者提供证据,说明你正在尽最大努力收集具体的数据,这可以让判断者理解你完全考虑了这个要求。
/ s2/ ]服务提供者列表[/s2/]
pci总是要求企业检查服务提供商的pci合规情况,但现在也要求记录这些pci的要求由供应商负责,它们由企业自己负责。
虽然这听起来很简单,但请记住,无论是saas、paas还是iaas,云提供商或之前流传下来的服务提供商都属于这一类。 也就是说,公司现在需要明确负责特定pci dss控制的人,即公司还是供应商。 一个服务提供商,特别是在商业社区经常提供服务的提供商,已经有自己提供的控制的现成列表,但其他提供商可能不完全认同特定公司对责任划分的看法。 也就是说,企业必须与服务提供商反复协商,制定双方同意的列表。
结论;结论
请注意,这三个要求并不是pci dss为云计算部署企业带来的唯一变化。 但是,针对这些要求,智能安全和合规人员必须进行准备和预先规划,以满足新标准。
标题:“确保云计算合规的三个关键要求”
地址:http://www.sdsxywx.com/sdss/3976.html