除了 AWS 发布的所有常见问题解答、文档和声明之外,任何 1 级商家或服务提供商是否真正实现了 AWS 的 PCI 合规性?我们正在评估将我们的一些服务转移到 EC2/VPC,但我们的审计员说,当他们的其他客户试图实现合规性并不得不转而使用 Rackspace 时,AWS 并没有合作。他们遇到的问题是,
亚马逊确实有一份 II 型 SAS 70 报告。索取一份详细的副本应该显示他们拥有的所有控制措施。人们可能向亚马逊提出了错误的问题。快速说明一下,未来的 SAS 70 测试将被称为 SOC——会计行业的怪癖之一。
尤其是像亚马逊这样规模的公司,一看报告,觉得有道理,就说他们做了尽职调查。用非常模糊的术语来说,亚马逊和他们的 PCI 审计员在他们的百日咳的情况下负有某种信托责任。
也可以看看:
更新:您作为客户的相关控制目标是:2.4 托管服务提供商必须保护每个实体的托管环境和数据。这些提供商必须满足附录 A:“托管提供商的 PCI DSS 适用性”中详述的特定要求。
至少在我的解释中,亚马逊主要必须处理 A.1 中指定的四个控制。还有许多其他的无关紧要,有些则无关紧要。我不知道你的审计员能得到什么,但据我所知,没有文件在我面前:亚马逊已经通过,没有任何评论。这意味着它们已经过独立审查,以实现所有这些目标。考虑到这一点,剩下的负担就落在了您的公司上,以满足与实例内部内容相关的所有其他事项。
审计师并不总是正确的。您可能会发现聘请另一位审计师是值得的。你可能会发现我错了(尽管我相信我已经明白了)。至少你没有这个:https : //serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-he-wants