【TechTarget中国原创】本文是云安全应用指南系列的第九篇,我们将集中讨论在公共云中实现遵守支付卡行业数据安全标准v1.2(PCI-DSS)的若干问题。事先声明,我必须指出我是一个PCI QSA,本文只是我对于PCI-DSS标准的个人理解。本文中的观点既不代表PCI安全标准委员会,也不代表任何其他的评估人员。
公共云中能否遵守PCI标准?
如果你并未在公共云中存储或处理持卡人数据,那么就能够实现遵守PCI-DSS标准。但是如果你在公共云中存储或处理持卡人数据,那么我个人认为目前不可能符合PCI-DSS的标准。
如果你能够确保通过公共云(类似于如今的互联网)实现安全的持卡人数据传输,那么就能够实现遵循PCI-DSS标准。PCI-DSS标准规则的说明:如果合同条款规定您必须遵守PCI-DSS标准,那么您就必须100%遵守该标准。PCI-DSS标准要求具有持续性,但只要求您每年对其进行“证实”(即复核)。
复核遵循标准的具体细节将随着您处理业务的数量变化以及您的实体类型不同(即商家或服务供应商)而不同。
需要加以考虑的重要一点在于,与大型商家相比,即便小型商家复核要求更为宽松(即自我评估与第三方现场评估的差别),您也需要遵循相同的细节规定。
PCI-DSS并不涉及与云供应商相关的细节问题。但是PCI-DSS直接涉及共享托管供应商的业务,同时对互联网服务供应商(ISP)进行指导。虽然对于公司来说将公共云供应商和共享托管供应商等同看待很合常理,但问题的症结在于对共享托管供应商的相关要求都是目前的云供应商所无法达到的。PCI-DSS标准的附录A要求供应商执行并向评估人提供以下证明:
- 每个实体只运行访问实体持卡人数据环境的数据处理(A.1.1)这就要求限定对系统的访问,并证明该进程是独立进行的。
- 每个实体的访问和特权仅限于其本身的系统和数据(A.1.2)。同样,要对所发生的事件进行证实是非常困难的。
- 有日志和审查备案可供查看,以追查所有对持卡人数据的访问(A.1.3)。访问、证据、虚拟机客户映像的问题、以及保存在映像或扩展映像内存中的所有潜在持卡人数据都不是很容易找到。
- 提供一个处理进程和一个机制,以允许对所有客户端或供应商本身采取及时的法庭调查(A.1.4)。据我所知,目前还没有哪一家云供应商能够满足这一要求。
既然在PCI-DSS中不存在风险接受,同时要求100%的符合,我已经得出结论,即在那些部署中您无法实现遵循PCI标准。但是,我可以肯定云供应商将会对服务级协议(SLA)以及使组织在未来遵循标准的合同进行修改,但目前却是不可能实现的。
结论
有些人可能认为补偿控制可用来满足标准,但是我认为那是不可能的。除非云供应商愿意开放并向我们(即客户和审核人员)公开其内部结构,否则满足PCI-DSS标准的持卡人数据存储和处理仍然是一个不可实现的梦。那么你可以做什么?我有如下两个建议:
- 将所有的支付卡业务转移至第三方(如PayPal)。
- 将持卡人数据的存储和处理移至内部控制系统上。基本上这就形成了一个混合云。
此外,你还必须对云供应商施加压力,从而构建一部分完全符合PCI标准的云。这样,你就可以使用他们符合PCI标准的云,以扩大您符合PCI标准的云。