AWSによって公開されたすべてのFAQ、ドキュメント、ステートメントは別として、レベル1の加盟店は実際にAWSでPCIコンプライアンスを実際に達成しましたか?一部のサービスをEC2 / VPCに移行することを評価していますが、監査人は、他のクライアントがコンプライアンスを達成しようとしてAWSが協力的でなく、代わりにRackspaceに移動する必要があったと述べています。彼らが遭遇した問題は、
更新:この質問は、元々StackExchangeで質問されましたが、そのサイトには適切ではないと投票されました。
回答:
AWSの問題を自分で解決しようとしないことをお勧めします。
監査人に、PCIコンプライアンスに関するAWSのSAS 70 Type 2監査レポートを受け入れるかどうか尋ねます。これは、外部監査人がAWSクライアントに関するPCIセキュリティについてAWSを監査し、レポートを発行することを意味します。その後、監査人は基本的にそれをゴム印します。監査人がこのレポートを受け入れたくない場合は、管理者に彼が受け入れない理由と、彼らがAICPAルールを遵守しているかどうかを尋ねてください(ただし、以下のGotchasを参照)。
AWSがそのような標準的な監査プロセスを受け入れる気がない場合、基本的にはPCIコンプライアンス=>クレジットカードの処理に関する市場全体のポジションを損なうため、協力しないとは思えません。たとえば、ビッグ5の1つを参照してください... SAS70監査と SAS70に関するウィキペディアを提供する4つの会計事務所
注意事項:SAS 70タイプ2は監査対象を正確に指定していないため、事前に監査人が監査の範囲に同意していることを確認する必要があります。注:SAS 70タイプ2は米国の監査規格であり、しばらくの間使用されていますが、更新されたバージョン/規格がある可能性があります。別の国にいる場合は、他の要件があるかもしれませんが、SAS 70タイプ2は国際的に非常に広く使用されています。
ただし、監査人が実際にAWSでSAS 70タイプ2レポートを取得しており、範囲が十分に広いとは思わないか、監査が適切に行われなかったか、結果の結果/結論が否定的だった可能性があります。