确保云计算合规的三个关键要求

来源: TechTarget中国
2014/2/8 15:40:07
云计算中的PCI DSS合规一直是很复杂且具有挑战性的话题,以至于PCI安全标准委员会发布了一整份文档来描述如何在PCI环境下使用云计算。

分享到: 新浪微博 腾讯微博
本文关键字: 云计算 数据流 SaaS

最近,支付卡行业数据安全标准(PCI DSS)更新到新版本——PCI DSS 3.0。在某些领域,新要求可能会影响支持该标准的商家和服务提供商(云计算及其他服务)的合规计划。其中,与云计算相关的受影响最大的领域是,持卡人数据环境(CDE)与云计算交互使用的情况。  

商家将会发现,云计算中的PCI DSS合规一直是很复杂且具有挑战性的话题,以至于PCI安全标准委员会发布了一整份文档来描述如何在PCI环境下使用云计算。然而,PCI 3.0有几个方面可能让这个已经很复杂的情况变得更加复杂。这并不是因为3.0版本有新语言或专门应对云计算情况的新要求(事实并非如此),或者因为它取代了上面提到的指导文件(并不存在)。相反,这种混乱是因为一些新要求所产生的影响,对于云计算来说很难解决和维护。  

PCI DSS 3.0有什么不同?

对于在PCI监管的基础设施中的云计算的使用,PCI DSS 3.0有三个新要求与之最为相关:  

Req. 2.4:“对PCI DSS范围内的系统组件进行库存管理。”  

Req. 1.1.3:“显示跨系统和网络所有持卡人数据流的当前视图。”  

Req. 12.8.5:“明确哪些PCI DSS要求由每个服务提供商管理以及哪些由企业实体管理。”  

值得注意的是,这些并不是唯一的新要求,它们也不是对在PCI环境中使用云计算的唯一要求。然而,对于正在使用云计算并已经建立了PCI合规来解决CDE内的使用的企业而言,这三个要求可能在未来几个月中会造成很大的混乱。了解这里的原因需要更深入到每一个要求。

盘点和IaaS

利用云计算的企业必须要注意的第一个要求是盘点系统组件。PCI DSS标准在PCI 3.0文档的第10页描述了“系统组件”的含义,但我们想要强调的关键点是它包括了虚拟机。对任何虚拟环境进行过彻底盘查的企业都知道这有多么困难,但请记住,在云计算部署(特别是基础设施即服务)中,这可能比企业直接控制的虚拟环境更加复杂,尤其是当由服务供应商提供支持时。试想一下,服务提供商支持人员决定克隆一个实例来帮助测试补丁兼容性,或者动态地重新定位镜像来响应性能瓶颈问题。这意味着客户现在必须更加勤奋地追踪CDE内实例的创建和销毁,以保持库存的更新。  

共2页: 上一页1 [2]
责编:王雅京
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map