为了帮助组织在使用云技术收集,存储或传输信用卡数据时更好地理解其在支付卡行业数据安全标准(PCI DSS)下的合规义务,支付卡行业安全标准委员会(PCI SSC)已发布 PCI DSS云计算指南信息补充.

该准则由代表银行,商人,安全评估师和技术供应商的100多个全球组织组成,该准则指出PCI DSS仍将适用“如果支付卡数据是在云环境中存储,处理或传输的”。

根据PCI SSC,除非云部署模型是真正的私有(现场),否则安全是云服务提供商(CSP)及其客户端之间的共同责任,二者之间的责任级别取决于使用的云服务模型。

软件即服务(SaaS)使客户可以通过云使用CSP的应用程序,从而导致对安全性的更大控制损失和更低的责任感。平台即服务(PaaS)允许客户将其应用程序部署到CSP的云基础架构上,与SaaS相比,其控制程度有所降低,并增加了责任。基础架构即服务(IaaS)允许客户端使用CSP的处理,存储和网络在云基础架构上部署和运行操作系统,应用程序和其他软件,从而为客户端提供了高度的控制和责任感。随着客户端从SaaS模型(最低客户端职责)转移到IaaS模型(大多数客户端职责),跨云服务模型的安全职责级别通常会向客户端迁移。

客户必须了解他们的要求,以便确定特定的CSP是否可以满足他们的要求。该准则建议客户进行风险评估,以使他们能够做出明智的决定。

在将控制权外包给第三方CSP的情况下,理事会认为必须有合同协议并进行持续的尽职调查,以确保CSP符合客户和客户要求的安全级别。 PCI DSS。他们警告说:“如果没有正确分配,传达和理解安全责任,不安全的配置或漏洞可能会被忽视和解决,从而导致潜在的利用和数据丢失。”