我们正在开发一个Web应用程序来处理客户的高度敏感(金融)数据(受众是大中型企业)。 客户将受到监pipe机构和审计机构的监督,因此我们也会这样做。 更重要的是为了给客户一个舒适的水平,我们的应用和相关的主机安排应该给他们灌输很大的信心。
我们正在研究使用像Linode,Amazon EC2等基于云的服务。为了获得最大的灵活性我们热衷于将所有东西放在虚拟服务器上,并避免购买我们自己的硬件。
基于云的服务对于我们的特定场景是否有意义? 如果不是我们应该考虑什么types的托pipe? 如果是的话,我们应该注意什么?
谢谢!
如果没有更多的手,就很难find安全的基础设施。 您可能无法完全保护存储在托pipe环境(如Amazon EC2)上的数据。 特别是关于信用卡存储和PCI,通常build议不要在这些环境中存储数据。
即使拥有专用服务器也不能满足PCI存储数据的要求,因为您需要在物理上保护空间并控制物理访问。
为了满足大多数安全要求,您需要拥有自己的访问控制和物理安全空间。 例如,共享数据中心内的完全封闭的笼子可能有资格。 大多数较低级别的产品(如虚拟专用服务器和专用服务器)不太可能符合要求。
适用的规定将是独特的数据,这将有助于澄清确切的要求。 如果您想知道您正在进行的操作,可以查看PCI DSS 。
祝你好运。
如果你能find一个审核员来批准把敏感的财务数据放到云中,你可能需要停止使用杜威,Cheatem和Howe。 严格来说,托pipe敏感数据需要由SAS 70authentication的公司来完成,并允许审计人员检查他们的程序(Sungard作为潜在的来源被想到)。 在美国,大多数财务信息审计表单不喜欢听到“托pipe”这个词,因为这意味着您无法控制数据 – 这是一个问题。 从成本的angular度来看,我怀疑你会发现使用托pipe服务将花费远远超过获取共置空间的地方。
我怀疑,Verizon的CaaS产品将为此工作,而他们的中华民国可以让你在晚上睡觉。 他们习惯于处理PCI合规性(以及更严格的HIPPA和银行要求的)。 不是最便宜的,但他们可以提供非常高的服务水平。
免责声明,我是中华民国的一个SA。