數(shù)據(jù)流和SaaS
下一個挑戰(zhàn)涉及在某些云計算環(huán)境中映射數(shù)據(jù)流�����,特別是軟件即服務(wù)SaaS����。與平臺即服務(wù) PaaS和IaaS不同,在SaaS中,應(yīng)用本身是一個“黑盒子”��,這意味著SaaS客戶被故意從應(yīng)用運行的底層機制屏蔽��。例如����,當(dāng)你登錄到 LinkedIn或Facebook時�����,你知道你的用戶ID穿行在哪臺服務(wù)器或者多少不同的數(shù)據(jù)庫連接到內(nèi)部后端環(huán)境?你關(guān)心嗎?或許你不在乎����,只要你能正確登錄。現(xiàn)在��,鏡像能解決這個要求��,它不僅能了解如何進行整個過程����,而且還能記錄數(shù)據(jù)采用的確切路徑。
現(xiàn)在����,請記住��,該標(biāo)準(zhǔn)中并沒有說數(shù)據(jù)流圖要“知道不可知的情況”���,當(dāng)企業(yè)對遠程基礎(chǔ)設(shè)施沒有充分可視性,達到這種詳細程度并不總是現(xiàn)實的�����。在另一方面���, 圖表上有箭頭指向互聯(lián)網(wǎng)稱����,“PAN發(fā)送到遠程計費供應(yīng)商”��,并不能達到評估員的標(biāo)準(zhǔn)�,所以需要尋找一個中間立場,來徹底滿足評估����,同時沒有那么繁瑣,讓 企業(yè)可以實現(xiàn)�。對此����,你可以從記錄你所知道的并讓供應(yīng)商完成測試開始�。如果他們不能或者不愿意幫助向下鉆取以及更詳細,請確保記錄這個事實�。你應(yīng)該向 評估者提供證據(jù)證明你已經(jīng)作出最大努力來收集具體數(shù)據(jù),這可以讓評估人員了解你已經(jīng)完全考慮過這個要求�。
服務(wù)提供商矩陣
PCI總是要求企業(yè)檢查其服務(wù)供應(yīng)商的PCI合規(guī)狀態(tài),但現(xiàn)在它還要求企業(yè)記錄哪些PCI要求由供應(yīng)商負責(zé)�,哪些由企業(yè)自己負責(zé)。
這可能聽起來像是一件容易的事���,但請記住,云供應(yīng)商無論是SaaS����、PaaS或者IaaS以及更傳統(tǒng)的服務(wù)供應(yīng)商都屬于這一類。這意味著企業(yè)現(xiàn)在必 須確定誰負責(zé)特定的PCI DSS控制:企業(yè)還是供應(yīng)商���。雖然一些服務(wù)提供商特別是經(jīng)常服務(wù)于商家社區(qū)的提供商已經(jīng)有他們所提供的控制的現(xiàn)成的清單�,其他提供商可能并不會完全認 同特定企業(yè)對責(zé)任劃分的觀點�����。這意味著企業(yè)需要與服務(wù)提供商反復(fù)協(xié)商來建立一個雙方都同意的清單。
結(jié)論
要注意的是��,這三個要求并不是PCI DSS為部署云計算的商家?guī)淼奈ㄒ蛔兓?��。然而��,對于這些要求�����,精明的安全和合規(guī)從業(yè)人員需要做一些準(zhǔn)備和前期規(guī)劃以迎接新標(biāo)準(zhǔn)�����。
來源:IT168
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場�。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
