數(shù)據(jù)流和SaaS
下一個挑戰(zhàn)涉及在某些云計算環(huán)境中映射數(shù)據(jù)流�����,特別是軟件即服務SaaS����。與平臺即服務 PaaS和IaaS不同,在SaaS中����,應用本身是一個“黑盒子”�,這意味著SaaS客戶被故意從應用運行的底層機制屏蔽。例如�����,當你登錄到 LinkedIn或Facebook時���,你知道你的用戶ID穿行在哪臺服務器或者多少不同的數(shù)據(jù)庫連接到內部后端環(huán)境?你關心嗎?或許你不在乎�,只要你能正確登錄。現(xiàn)在����,鏡像能解決這個要求,它不僅能了解如何進行整個過程��,而且還能記錄數(shù)據(jù)采用的確切路徑�����。
現(xiàn)在���,請記住�,該標準中并沒有說數(shù)據(jù)流圖要“知道不可知的情況”�����,當企業(yè)對遠程基礎設施沒有充分可視性���,達到這種詳細程度并不總是現(xiàn)實的����。在另一方面, 圖表上有箭頭指向互聯(lián)網稱�����,“PAN發(fā)送到遠程計費供應商”����,并不能達到評估員的標準,所以需要尋找一個中間立場���,來徹底滿足評估��,同時沒有那么繁瑣�,讓 企業(yè)可以實現(xiàn)�。對此,你可以從記錄你所知道的并讓供應商完成測試開始�����。如果他們不能或者不愿意幫助向下鉆取以及更詳細�,請確保記錄這個事實�����。你應該向 評估者提供證據(jù)證明你已經作出最大努力來收集具體數(shù)據(jù)�����,這可以讓評估人員了解你已經完全考慮過這個要求。
服務提供商矩陣
PCI總是要求企業(yè)檢查其服務供應商的PCI合規(guī)狀態(tài)����,但現(xiàn)在它還要求企業(yè)記錄哪些PCI要求由供應商負責,哪些由企業(yè)自己負責�����。
這可能聽起來像是一件容易的事�,但請記住,云供應商無論是SaaS�、PaaS或者IaaS以及更傳統(tǒng)的服務供應商都屬于這一類。這意味著企業(yè)現(xiàn)在必 須確定誰負責特定的PCI DSS控制:企業(yè)還是供應商���。雖然一些服務提供商特別是經常服務于商家社區(qū)的提供商已經有他們所提供的控制的現(xiàn)成的清單���,其他提供商可能并不會完全認 同特定企業(yè)對責任劃分的觀點。這意味著企業(yè)需要與服務提供商反復協(xié)商來建立一個雙方都同意的清單�����。
結論
要注意的是,這三個要求并不是PCI DSS為部署云計算的商家?guī)淼奈ㄒ蛔兓?。然而,對于這些要求���,精明的安全和合規(guī)從業(yè)人員需要做一些準備和前期規(guī)劃以迎接新標準���。
來源:IT168
版權及免責聲明:凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”���,違者本網將保留追究其相關法律責任的權力��。凡轉載文章���,不代表本網觀點和立場。版權事宜請聯(lián)系:010-65363056���。
延伸閱讀
