Normen des Sicherheitsrates durchschneidet PCI Wolke Verwirrung

2013-12-30  |  Comebuy News

Hältst du Payment Card Informationen (PCI) Daten in einem Cloud-basierten Dienst? Ja, aber tun ist also nicht einfach, also dem PCI Security Standards Council veröffentlicht hat eine Leitlinie, das verdeutlicht, was Compliance gesinnte Unternehmen Ansätze nehmen kann.

Comebuy Verwandte Artikel: Veröffentlicht PCI Releases Leitlinien für Cloud CompliancePCI Rates Gefährdungsbeurteilung Regeln für Karte-Verarbeitung NetworksCan VM und Cloud-Systeme sichere PCI Karte Zahlungsdaten?Mobile Zahlungen, PCI DSS Compliance: einige ClarityPCI-Gruppe skizziert Technologie, sensible Kontoinformationen zu verbergen

"Natürlich, ist es OK, um die Wolke zu verwenden", sagt Bob Russo, Geschäftsführer des Rates. "Aber wir [Unternehmen] die Modelle der Bereitstellung verstehen wollen." Unter Seitenquelltext, mit dem Titel "Informationen ergänzen: PCI DSS Cloud Computing Guidelines" taucht in was Unternehmen erwarten und verlangen von ihren Cloud-Service-Provider bezüglich Schutz von vertraulichen Daten in PCI, sowie die Betonung die Kernaufgabe für die PCI-Daten, die das Geschäft akzeptieren müssen.

[Start-ups: 12 cloud computing Unternehmen zu sehen]

[WACHSTUMSSCHMERZEN: Verschieben zu cloud computing ist teurer, schwerer als ursprünglich geplant]

Ändert nicht den Rat zusätzliche Anleitung heute eines der wichtigsten PCI Data Security Standard (PCI DSS), die lange angewendet haben, wie PCI-Daten statt oder verarbeitet in Unternehmensnetzwerken oder den vielen spezialisierten PCI Rechtsinhaber ist. Doch es geht ins Detail, wie diese traditionellen Sicherheitskontrollen in Cloud-computing-Umgebungen angewendet werden sollten, seien es Modelle definiert als Infrastruktur-as-a-Service, Platform-as-a-Service oder Software-as-a-Service.

"Es nicht den Standard ersetzen", sagt Russo. Aber er weist darauf hin, dass der Rat PCI Wolke Anleitung Informationen wie ob Cloud-Provider sagen, Sie seien "PCI-konform", das bedeutet nicht, dass Kaufleute, die ihre Dienste mit "denke sollte ihre Arbeit getan ist." In Wirklichkeit sollte der Händler Fragen, was muss getan werden, um angemessen schützen Zahlung Kartendaten in der Cloud mit den benötigten PCI-Sicherheitskontrollen wie Verschlüsselung, Virenschutz und Zugriffskontrolle buchstabiert in dem PCI DSS.

Kaufleute und Cloud helfen Anbieter navigieren Sie durch das im Hinblick auf PCI-Daten, des Rats Anleitung ausgiebig im Detail die Überlegungen und Fragen, die in vielen Situationen der Wolke geprüft werden sollte. Dazu gehören Private, Gemeinschaft, Öffentlichkeit und hybride Clouds. Die Anleitung wird sicherlich auch beeinflussen, wie PCI-Assessoren, die PCI-Daten überwachen betrachtet werden werden wie Händler PCI Daten in Cloud-Umgebungen zu verwalten.

"Die Linien der Verantwortlichkeit und der Verantwortung für jedes Service und Bereitstellung Modell anders sein werden", erklärt der Rat Wolke Anleitung. "Klare Richtlinien und Verfahren sollten zwischen Client und Cloud-Anbieter für alle Sicherheitsanforderungen vereinbart werden und klare Verantwortlichkeiten für Betrieb, Verwaltung und Berichterstellung für jede Anforderung definiert werden müssen."

Der Rat betont, dass kein Geschäft blind in Cloud-Bereitstellung für PCI gehen sollte. Jedes Unternehmen, das mit der Wolke für PCI Daten muss verstehen"das Niveau der Kontrolle der Transparenz haben sie Sicherheitsfunktionen, die außerhalb ihrer Kontrolle liegen. Wenn diese Sicherheitsaufgaben nicht ordnungsgemäß zugeordnet werden, kommuniziert, und verstanden, unsichere Konfigurationen oder Schwachstellen konnte unbemerkt und unadressierte, möglichen Exploit und Datenverlust oder anderen Kompromiss."

Ellen Messmer ist leitender Redakteur bei Network World, IDG-Publikation und Webseite, wo sie News und Technik Trends mit Bezug zu Informationssicherheit deckt.

« Back