25/11/2013

PCI DSS et le Cloud

Dans son guide "PCI DSS Cloud Computing Guidelines", le PCI SSC "Council" propose une classification des acteurs du cloud qui me semble intéressante.

En effet, comme les hébergeurs de type "Cloud" peuvent proposer des offres d'hébergement certifiées PCI DSS diverses, il est opportun de savoir les distinguer en fonction de leurs offres de services.

Tout d'abord, les hébergeurs "Cloud" rentrent dans la catégorie "PCI Managed Service Provider", ils sont donc libres de choisir les exigences PCI qu'ils souhaitent remplir et celles qu'ils laissent à leurs clients.

Le client devra donc choisir une offre d'hébergement  en regardant bien le détail du SLA (Service Level Agreement) de son hébergeur.

Le schéma illustre la répartition des exigences PCI DSS entre le CLIENT et le CSP (Cloud Service Provider = l'hébergeur).

Pour aider à la compréhension, le PCI SSC propose la classification suivante : 

SaaS (Software as a Service) : il s'agit ici des applications fournies en tant que service web. Tous les clients utilisent la même application hébergée dans le cloud. Dans ce cas, comme illustré sur le schéma, le "Cloud Service Provider" endosse la grande majorité des exigences PCI DSS. Les clients n'auront, en fonction des cas, plus qu'à adopter une politique de sécurité liée à l'utilisation du logiciel SaaS et aux données de carte.

PaaS (Platform as a Service) : c'est lorsque le client possède un compte système restreint (type compte FTP) où il peut déposer ses applications (PHP, ASP...). La configuration du système, de l'infrastructure réseau restent sous la responsabilité de l'hébergeur. La gestion de la sécurité applicative et de la politique de rétention des données de carte sont quant à elles sous la responsabilité de chaque client.
C'est le cas le plus fréquemment rencontré.

IaaS (Infrastructure as a Service) : cette fois-ci, le client déploie lui-même ses machines virtuels dans le Cloud, est en charge de créer ses firewalls (virtuels), ses VLANs, etc. Dans ce dernier cas, la majeure partie des exigences sont sous la responsabilité du client.

Je rajoute une quatrième catégorie :

Hardware (Housing Power, Supply, Telecom) : J'appelle cela la certification "datacenter". L'hébergeur offre simplement des cages ou un cold corridor dans un datacenter. Les clients doivent y installer leurs infrastructures. L'hébergeur remplie uniquement l'exigence PCI DSS n°9. 


Il ne faut donc pas se tromper lorsque l'on cherche un "cloud" ou un hébergeur certifié PCI DSS : il reste toujours une partie (plus ou moins grande) des responsabilités PCI DSS imputables au client.

Aucun commentaire:

Enregistrer un commentaire