除了AWS公布的所有常见问题解答,文件和声明外,是否有任何一级商家实际上在AWS上实现 PCI合规? 我们正在评估将部分服务转移到EC2 / VPC,但是我们的审计人员说,当AWS的其他客户试图达到合规要求时,AWS并没有合作,只好去Rackspace。 他们遇到的问题是,
更新:这个问题最初是在StackExchange上提出的,但被拒绝了,因为不适合该网站https://stackoverflow.com/questions/6851259/has-anyone-achieved-level-1-pci-compliance-on-aws
我build议不要试图自己解决AWS的问题。
询问您的审核员是否会接受AWS关于PCI合规性的SAS 70 Type 2审核报告:这意味着外部审核员将针对AWS客户的PCI安全性进行审核并发布报告。 那么你的审计师基本上就是用橡皮戳它。 如果审计师不愿意接受这个报告,询问他的pipe理层为什么不这样做,他们是否遵守AICPA规则(见下面的陷阱)。
如果AWS不愿意接受这样的标准审计stream程,基本上会破坏他们在PCI合规性=>信用卡处理方面的整个市场地位,所以我无法想象他们不会合作。 例如,参见在SAS70上 提供SAS70审计和维基百科的 五大会计师事务所之一
问题:SAS 70第二类没有具体说明要审核的内容,所以你必须确保你的审核员事先同意审核的范围:审核员就是这样一个例子。 注意:SAS 70 type 2是美国审计标准,已经有一段时间了,可能会有更新的版本/标准。 如果您在另一个国家,可能还有其他的要求,但是SAS 70 type 2在国际上应用非常广泛。
但是,您的审计师实际上可能有一份关于AWS的SAS 70第二类报告,认为范围不够广泛,或者审计工作做得不好,或者得出的结论/结论是否定的。