29/09/2014

Cloud Amazon AWS et PCI DSS

Une question qui revient souvent est : "j'utilise le cloud Amazon pour mon infrastructure, est-ce que c'est PCI DSS ?".

La réponse est OUI et NON.

OUI, car Amazon (EC2, S3) est certifié PCI DSS en tant que Service Provider "Hosting". Cela signifie que le client de Amazon n'a pas besoin d'envoyer son QSA faire l'audit des datacenters d'Amazon, car le QSA d'Amazon l'a déjà fait.

NON, car la certification d'Amazon est uniquement sur le périmètre sécurité physique, c'est-à-dire les exigences PCI DSS 9.x. Le reste des exigences reste donc à la charge du client Amazon : gestion des patchs, sécurité applicative, gestion des règles firewalls, gestion des comptes, etc.



Aucun commentaire:

Enregistrer un commentaire