PCI DSS 3.0 保证云计算合规的几个重点要求
发布时间:2022-05-09 09:31:25 所属栏目:安全 来源:互联网
导读:最近,支付卡行业数据安全标准(PCI DSS)更新到新版本PCI DSS 3.0。在某些领域,新要求可能会影响支持该标准的商家和服务提供商(云计算及其他服务)的合规计划。其中,与云计算相关的受影响***的领域是,持卡人数据环境(CDE)与云计算交互使用的情况。 商家将会
|
最近,支付卡行业数据安全标准(PCI DSS)更新到新版本——PCI DSS 3.0。在某些领域,新要求可能会影响支持该标准的商家和服务提供商(云计算及其他服务)的合规计划。其中,与云计算相关的受影响***的领域是,持卡人数据环境(CDE)与云计算交互使用的情况。 商家将会发现,云计算中的PCI DSS合规一直是很复杂且具有挑战性的话题,以至于PCI安全标准委员会发布了一整份文档来描述如何在PCI环境下使用云计算。然而,PCI 3.0有几个方面可能让这个已经很复杂的情况变得更加复杂。这并不是因为3.0版本有新语言或专门应对云计算情况的新要求(事实并非如此),或者因为它取代了上面提到的指导文件(并不存在)。相反,这种混乱是因为一些新要求所产生的影响,对于云计算来说很难解决和维护。 为了做好准备,企业有几种选择。最坏的情况下,大多数IaaS供应商将会提供其环境中镜像的原始清单以便进行计费,或者通过其控制面板提供清单。虽然这个清单可能不是企业想要的(例如,它并不会显示镜像的目的或者其中有何软件),但至少这是一个开始。如果你的企业有来自服务提供商的专门技术人员来支持你的账户(例如你是特定供应商的大客户),在创建库存清单时考虑列出供应商的帮助支持。如果你不是大客户或者你的云服务提供商不合适(或成本太高),考虑采用自动化功能;例如,在你的虚拟“黄金镜像”预配置盘查代理,可能有助于捕捉你不知道的新实例或克隆。 数据流和SaaS 下一个挑战涉及在某些云计算环境中映射数据流,特别是软件即服务(SaaS)。与平台即服务(PaaS)和IaaS不同,在SaaS中,应用本身是一个“黑盒子”,这意味着SaaS客户被故意从应用运行的底层机制屏蔽。例如,当你登录到LinkedIn或Facebook时,你知道你的用户ID穿行在哪台服务器或者多少不同的数据库连接到内部后端环境?你关心吗?或许你不在乎,只要你能正确登录。现在,镜像能解决这个要求,它不仅能了解如何进行整个过程,而且还能记录数据采用的确切路径。  (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号