導航| 歡迎訪問商訊網
云計算
當前位置: 22世纪古墓奇兵快播 > 云計算 >

古墓奇兵游戏:確保云計算合規的三個關鍵要求


投稿: adg  2014-02-08 14:24:49  來源: TechTarget中國 我要評論(0 ) 訪問次數 

22世纪古墓奇兵快播 www.llyso.icu   支付卡行業數據安全標準最近更新到了PCI DSS 3.0,對于在PCI監管的基礎設施中的 云計算 的使用,PCI DSS 3.0有三個新要求與之最為相關。

  最近,支付卡行業數據安全標準(PCI DSS)更新到新版本——PCI DSS 3.0。在某些領域,新要求可能會影響支持該標準的商家和服務提供商(云計算及其他服務)的合規計劃。其中,與云計算相關的受影響最大的領域是,持卡人數據環境(CDE)與云計算交互使用的情況。

  商家將會發現,云計算中的PCI DSS合規一直是很復雜且具有挑戰性的話題,以至于PCI安全標準委員會發布了一整份文檔來描述如何在PCI環境下使用云計算。然而,PCI 3.0有幾個方面可能讓這個已經很復雜的情況變得更加復雜。這并不是因為3.0版本有新語言或專門應對云計算情況的新要求(事實并非如此),或者因為它取代了上面提到的指導文件(并不存在)。相反,這種混亂是因為一些新要求所產生的影響,對于云計算來說很難解決和維護。

  PCI DSS 3.0有什么不同?

  對于在PCI監管的基礎設施中的云計算的使用,PCI DSS 3.0有三個新要求與之最為相關:

  Req. 2.4:“對PCI DSS范圍內的系統組件進行庫存管理?!?/P>

  Req. 1.1.3:“顯示跨系統和網絡所有持卡人數據流的當前 視圖 ?!?/P>

  Req. 12.8.5:“明確哪些PCI DSS要求由每個服務提供商管理以及哪些由 企業 實體管理?!?/P>

  值得注意的是,這些并不是唯一的新要求,它們也不是對在PCI環境中使用云計算的唯一要求。然而,對于正在使用云計算并已經建立了PCI合規來解決CDE內的使用的企業而言,這三個要求可能在未來幾個月中會造成很大的混亂。了解這里的原因需要更深入到每一個要求。

  盤點和IaaS

  利用云計算的企業必須要注意的第一個要求是盤點系統組件。PCI DSS標準在PCI 3.0文檔的第10頁描述了“系統組件”的 含義 ,但我們想要強調的關鍵點是它包括了虛擬機。對任何虛擬環境進行過徹底盤查的企業都知道這有多么困難,但請記住,在云計算部署(特別是基礎設施即服務)中,這可能比企業直接控制的虛擬環境更加復雜,尤其是當由服務供應商提供支持時。試想一下,服務提供商支持人員決定克隆一個實例來幫助測試補丁兼容性,或者動態地重新定位鏡像來響應性能瓶頸問題。這意味著客戶現在必須更加勤奮地追蹤CDE內實例的創建和銷毀,以保持庫存的更新。

  為了做好準備,企業有幾種選擇。最壞的情況下,大多數IaaS供應商將會提供其環境中鏡像的原始清單以便進行計費,或者通過其控制面板提供清單。雖然這個清單可能不是企業想要的(例如,它并不會顯示鏡像的目的或者其中 有何 軟件),但至少這是一個開始。如果你的企業有來自服務提供商的專門技術人員來支持你的賬戶(例如你是特定供應商的大客戶),在創建庫存清單時考慮列出供應商的幫助支持。如果你不是大客戶或者你的云服務提供商不合適(或成本太高),考慮采用 自動化 功能;例如,在你的虛擬“黃金鏡像”預配置盤查代理,可能有助于捕捉你不知道的新實例或克隆。

  數據流和SaaS

  下一個挑戰涉及在某些云計算環境中映射數據流,特別是軟件即服務( SaaS )。與平臺即服務(PaaS)和IaaS不同,在SaaS中,應用本身是一個“黑盒子”,這意味著SaaS客戶被故意從應用運行的底層機制屏蔽。例如,當你登錄到LinkedIn或 Facebook 時,你知道你的用戶ID穿行在哪臺 服務器 或者多少不同的 數據庫 連接到內部后端環境?你關心嗎?或許你不在乎,只要你能正確登錄。現在,鏡像能解決這個要求,它不僅能了解如何進行整個過程,而且還能記錄數據采用的確切路徑。

  現在,請記住,該標準中并沒有說數據流圖要“知道不可知的情況”,當企業對遠程基礎設施沒有充分可視性,達到這種詳細程度并不總是現實的。在另一方面,圖表上有箭頭指向 互聯網 稱,“PAN發送到遠程計費供應商”,并不能達到評估員的標準,所以需要尋找一個中間立場,來徹底滿足評估,同時沒有那么繁瑣,讓企業可以實現。對此,你可以從記錄你所知道的并讓供應商完成測試開始。如果他們不能(或者不愿意)幫助向下鉆取以及更詳細,請確保記錄這個事實。你應該向評估者提供證據證明你已經作出最大努力來收集具體數據,這可以讓評估人員了解你已經完全考慮過這個要求。

  服務提供商矩陣

  PCI總是要求企業檢查其服務供應商的PCI合規狀態,但現在它還要求企業記錄哪些PCI要求由供應商負責,哪些由企業自己負責。

  這可能聽起來像是一件容易的事,但請記住,云供應商(無論是SaaS、PaaS或者IaaS)以及更傳統的服務供應商都屬于這一類。這意味著企業現在必須確定誰負責特定的PCI DSS控制:企業還是供應商。雖然一些服務提供商(特別是經常服務于商家社區的提供商)已經有他們所提供的控制的現成的清單,其他提供商可能并不會完全認同特定企業對責任劃分的觀點。這意味著企業需要與服務提供商反復協商來建立一個雙方都同意的清單。

  結論

  要注意的是,這三個要求并不是PCI DSS為部署云計算的商家帶來的唯一變化。然而,對于這些要求,精明的安全和合規從業人員需要做一些準備和前期規劃以迎接新標準。

分類: 云計算   關鍵詞PCIDSS 云計算
分享到:  
20.9K
欄目導航
熱門標簽
圖片推薦
玩分分彩怎样才能稳赚 新疆时时彩开奖 比分直播下载 大乐透开奖结果彩票 非凡在线人计划app 牛牛看4张牌抢庄技巧 新时时走势图500 赌场限红什么意思 安徽快三开的大小规律 重庆福彩欢乐生肖玩法 双色球复式 助赢彩票软件 手机 开心彩票注册送50元 足彩投注单打印 彩票快三大小单双稳赚买法 重庆时时计划预测