14/06/2011

PCI-DSS, virtualisation, SAN et Cloud : la réponse du PCI SSC


Ce document est le fruit du travail du Special Interest Group "virtualisation" du PCI Council. Ce groupe est constitué de VMWare, Citrix, HP, Microsoft, d'autres éditeurs, une université américaine, des banques et des QSA (on peut voir cela comme du lobbying).

En synthèse :
  • S'assurer de l'isolement logique des VMs entres-elles
  • Renforcer la sécurité de l'hypersiveur et ses comptes d'administration.
  • Prendre des précautions supplémentaires dans le cas où l'hyperviseur héberge des VMs "PCI" et des VMs "non-PCI". Ce point est aussi valable pour les SAN.

Le document précise également que, bien que difficile, il est possible d'utiliser un hébergeur "Cloud" tout en réussissant son audit PCI DSS. Pour cela, l'hébergeur "Cloud" devra être certifié PCI DSS.

Aucun commentaire:

Enregistrer un commentaire