除了AWS所发布的所有常见问题解答,文档和声明之外,任何1级商家实际上是否已在AWS上实现 PCI合规性?我们正在评估将某些服务移至EC2 / VPC的情况,但是审计师说,当其他客户试图实现合规性而不得不去Rackspace时,AWS并没有合作。他们遇到的问题是
更新:此问题最初是在StackExchange上提出的,但因不适合该网站而被否决/programming/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws
Answers:
我建议不要尝试自己解决AWS的问题。
询问您的审计师,他是否将接受有关PCI合规性的AWS的SAS 70 Type 2审计报告:这意味着外部审计师将对AWS进行审计以获取与AWS客户端有关的PCI安全性并发布报告。然后,您的审核员基本上会对其加盖章。如果审计师不愿意接受该报告,请询问其管理层为什么不接受该报告,以及他们是否遵守AICPA规则(请参阅下面的“陷阱”)。
如果AWS不愿意接受这样的标准审核程序,那么它们将基本上破坏他们在PCI Compliance =>信用卡处理方面的整个市场地位,因此我无法想象他们不会合作。参见例如五大公司之一...四家提供SAS70审计的会计师事务所和 有关SAS70的维基百科
要点:SAS 70类型2并未具体说明要审核的内容,因此,您必须确保审核员事先同意审核范围:这是审核员提出的第2个问题。注意:SAS 70 2型是美国审计标准,已经存在了一段时间,可能会有更新的版本/标准。如果您在另一个国家/地区,可能还会有其他要求,但是SAS 70 type 2在国际上已广泛使用。
但是,可能是您的审计师实际上有关于AWS的SAS 70 2型报告,并且认为范围不够广泛,或者审计工作做得不好,或者得出的结论/结论是负面的。