我正在寻找主机,EC2是SAS 70兼容(几乎),我会直接进行PCI兼容和第4层,但我正在考虑SAS 70.有什么区别或相似之处?
除非您处理信用卡交易,否则PCI合规与您的目的无关。 即使PCI合规性与您相关,除了其他问题之外,SAS 70审核对于validation服务器的物理和环境安全性更重要。 但是,请记住,SAS 70审计被认为是组织(本案中的数据中心)被客户和客户的审计人员一遍又一遍地审计的替代品。 与大多数组织不同,您将踏上数据中心,并将自己观察许多控制。 但是,您仍然要求提供报告副本并对其进行审核。 确保它是最新的。 理想情况下,他们有一个2型SAS 70审计与1型审计。 核实审计师的意见书是不合格的(合格的)还是合格的(意味着一个问题如此重要,以至于被拉入信件中),而且范围似乎与所提供的服务有关。
免责声明 – 我为符合SAS 70 II型标准的托pipe服务提供商以及经过PCI DSSvalidation的服务提供商提供服务。
PCI DSS是必须满足的一组特定的技术要求。 SAS 70是对您的控制和程序的审计。
需要注意的是,您可以符合SAS70,不符合PCI DSS标准。 一个并不意味着另一个。 他们是不同的目标不同的合规stream程。
数据中心很可能只是在物理安全领域符合PCI标准。 这也发生在一些像Rackspace和SunGuard这样的pipe理托pipe解决scheme中。
他们有一些控制,但一些audtiting comapnies有一些pipe理托pipe服务提供商的问题。
正如rorr所说:PCI DSS是必须满足的一组特定的技术要求。 SAS 70是一个控制和程序的审计。
现在还不能评论,所以以答案的forms:我想补充一点,SAS 70(types1或2)实际上可以是对任何事情的审计。 (可以是财务审计,防火/备份/恢复审计,美国HIPAA等)。 审计范围取决于聘用审计师的合同范围,并在审计报告中予以归还。
AFAIR对于PCI DSS控制有特定的审计指南; 您可以让审计师对这些控制进行SAS70types2审计=>结果:当您获得PCI审计员时,您可以对报告进行波动(假设这是一个无保留的意见,如别处所述)。 但要确保SAS70 type 2报告涵盖了正确的内容。
这也可能是,你可以得到一个不是SAS70forms的主机的PCI DSSauthentication…
没有托pipe公司实际上是PCI兼容的。 这种合规性是为每个需要它的客户实现的,否则它会假设他们的所有客户的服务器都是以这样的方式build立的,使得他们符合PCI标准,这不是一个好主意,除非他们只是迎合那些需要它的人。
通常在数据中心级别实现SAS-70合规性,而且我不认为您可以在多个用户之间共享许多事物的云环境中完全达到某些合规性级别。