Compatible con pci hosting

Por medio de Amazon EC2 para PCI DSS aplicaciones . CloudiquityCloudiquity

11.10.2016

Uso de Amazon EC2 para PCI DSS aplicaciones

Por medio de Amazon EC2 para PCI DSS aplicaciones . CloudiquityCloudiquity
el Cumplimiento regulatorio y preocupaciones que se escucha a menudo cuando se trata de Cloud Computing, y a menudo muchos de los interesantes tipos de aplicaciones organizaciones gustaria implementar en la nube son a menudo los que se rigen por algun tipo de norma reglamentaria. Permite buscar en mas detalles en uno de estos.

PCI DSS es un conjunto de requisitos exhaustivos para la mejora de la cuenta de pago con la seguridad de los datos y fue desarrollado por la fundacion de marcas de pago de la PCI Security Standards Council, incluyendo American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Inc. Internacional, para ayudar a facilitar la adopcion amplia de datos coherente de medidas de seguridad sobre una base global.

El PCI DSS es un multifacetico estandar de seguridad que incluye los requisitos para la gestion de la seguridad, politicas, procedimientos, arquitectura de red, diseno de software y otras medidas de proteccion criticas. Este completo norma esta destinada a ayudar a las organizaciones a proteger proactivamente al cliente los datos de la cuenta.

por Lo tanto, es posible crear un PCI DSS aplicacion que se puede implementar para EC2 ?

con el fin De que una aplicacion o un sistema de PCI DSS requiere de un extremo a otro de diseno del sistema (o un examen, si el pre-existentes) y de la implementacion. En el caso de los clientes de AWS es lograr el cumplimiento de PCI (certificacion), tendrian que asegurarse de que cumple con todos los requisitos prescritos mediante el uso de cifrado, etc. muy parecida a la de otros clientes que han hecho con la ley HIPAA aplicaciones. La AWS diseno permite a los clientes con diferentes requisitos de cumplimiento y seguridad a construir a esas normas en una forma personalizada.

Hay diferentes niveles de cumplimiento de PCI y el nivel de secundaria es bastante recta hacia adelante de configuracion, pero requiere de elementos adicionales, tales como la 3 ? parte de escaneo externo (anualmente). Usted puede encontrar un ejemplo de la PCI informe de analisis que se realiza sobre una base trimestral para el Amazon de la plataforma. Esto no es’t pretende ser un reemplazo para el anual de escaneo requisito. Los clientes sometidos a icp de certificacion debe contar con un analisis que incluye su solucion completa, por lo tanto certificacion de la totalidad de la capacidad, no solo de la Amazonia de la infraestructura.

Los principios y el acompanamiento de los requisitos, alrededor de la cual los elementos especificos de la DSS se organizan son:

Construir y Mantener una Red Segura

Requisito 1: Instalar y mantener una configuracion de firewall para proteger los datos de titulares de tarjetas

el Requisito 2. No utilice los valores predeterminados de los proveedores para las contrasenas del sistema y otros parametros de seguridad Proteger los Datos de titulares de tarjetas

Requisito 3: Proteger almacenan datos de titulares de tarjetas

Requisito 4: Cifrar la transmision de datos de titulares de tarjetas a traves de redes publicas de Mantener un Programa de Gestion de vulnerabilidades

el Requisito 5: Utilizar y actualizar periodicamente el software antivirus

el Requisito 6.. Desarrollar y mantener sistemas y aplicaciones seguras las Implementar Fuertes Medidas de Control de Acceso

el Requisito 7: Restringir el acceso a datos de titulares de tarjetas de negocios que necesitan saber

el Requisito 8: Asignar un IDENTIFICADOR unico a cada persona con acceso a la computadora

Requisito 9: Restringir el acceso fisico a los datos de titulares de tarjetas de Monitorear Regularmente y Prueba de Redes

el Requisito 10: realizar un Seguimiento y controlar todos los accesos a los recursos de red y datos de titulares de tarjetas

Requisito 11: comprobar Periodicamente los sistemas y procesos de seguridad de Mantener una Politica de Seguridad de Informacion

Requisito 12: Mantener una politica que aborde la seguridad de la informacion

Muchos de estos requisitos, el’t ser cumplidos estrictamente por un proveedor de centro de datos, pero en Amazon’s caso, van a ser capaces de proporcionar una SAS70 Tipo 2 Auditoria Declaracion en julio que le proporcionan gran parte de la infraestructura de la informacion necesaria para cumplir con PCI DSS certificacion. Los Objetivos de Control que el de Amazon Auditoria de la direccion son:

Objetivo del Control 1: de la Organizacion de Seguridad: Gestion de conjuntos de una clara politica de seguridad de informacion. La politica es comunicada a toda la organizacion a los usuarios

Objetivo del Control 2: Amazon Empleado del ciclo de vida: los Controles proporcionan una garantia razonable de que los procedimientos se han establecido para que Amazon cuentas de empleados que se agregan, modifican y eliminan en forma oportuna y revisado de forma periodica para reducir el riesgo de no autorizada o el acceso inadecuado

Objetivo del Control 3: Logica Seguridad: Controles de proporcionar una garantia razonable de que no autorizados internos y externos el acceso a los datos adecuadamente restringido

Objetivo del Control 4: el Acceso a los Datos del Cliente: los Controles proporcionan una garantia razonable de que el acceso a los datos de los clientes es administrado por el cliente y adecuadamente segregados de otros clientes

Objetivo del Control 5: Asegure el Manejo de los Datos: los Controles proporcionan una garantia razonable de que el manejo de los datos entre el cliente punto de iniciacion a Amazon ubicacion de almacenamiento esta garantizado y se asigna de forma precisa

Objetivo del Control 6: Seguridad Fisica: los Controles proporcionan una garantia razonable de que el acceso fisico a Amazon operaciones del edificio y de los centros de datos esta restringido a personal autorizado

Objetivo del Control de las 7: Salvaguardias Ambientales: los Controles proporcionan una garantia razonable de que existen procedimientos para minimizar el efecto de un mal funcionamiento o danos fisicos para el equipo y las instalaciones de data center

Objetivo del Control de las 8: la Gestion del Cambio: los Controles proporcionan una garantia razonable de que los cambios (incluida la de emergencia / de la no-rutina y configuracion existentes para QUE los recursos se registran, autorizado, probado, aprobado y documentado.

Objetivo del Control de las 9: la Integridad de los Datos, la Disponibilidad y Redundancia: los Controles proporcionan una garantia razonable de que la integridad de los datos se mantiene a traves de todas las fases, incluida la transmision, almacenamiento y procesamiento de datos y los Datos del ciclo de vida es administrado por los clientes

Objetivo del Control 10: Manejo de Incidentes: los Controles proporcionan una garantia razonable de que los problemas del sistema estan correctamente registradas, analizadas y resueltas en forma oportuna.

Muchas gracias a Carl de Amazon, por su ayuda con esta informacion.

Actualizacion Ya que este post fue publicado Amazon actualizado de las PCI DSS de preguntas frecuentes. Usted puede encontrar aqui .

Descripcion del articulo: compatible con pci hosting regulatorias y de Cumplimiento preocupaciones que se escucha a menudo cuando se trata de Cloud Computing, y a menudo muchos de los interesantes tipos de

Fuente: el Uso de Amazon EC2 para PCI DSS aplicaciones | CloudiquityCloudiquity

Також ви можете прочитати