Faisant affaires dans le nuage offre des avantages considérables, y compris d'importantes économies de coûts mais aussi de réduire votre empreinte de TI. Cloud computing offre plus de souplesse lorsqu'il s'agit de déplacer votre il a besoin et beaucoup moins de surcharge. Toutefois, sans une approche systématique à la virtualisation qui tient compte des services de conformité PCI, les entreprises s'ouvrir eux-mêmes jusqu'à de plus grands risques. Ce guide couvre l'essentiel des lignes directrices virtualisation tel qu'énoncé par le PCI DSS.
Rester sécurisé
Tout simplement parce que vous suivez les directives de virtualisation PCI DSS 2.0 ne signifie pas que vous êtes aussi sécurisé que vous pourriez être. Les recommandations pour l'utilisation de virtualisation et cloud computing pour le stockage des données PCI peuvent offrir beaucoup d'informations sur les bases de la protection, mais ce n'est pas un substitut pour une stratégie de sécurité globale.
Chiffrement devrait être intégré comme un élément essentiel de la protection des données dans le nuage. Cryptage, lorsqu'il est utilisé correctement et souvent, prouve l'isolement des données dans des environnements mutualisées et sert aussi à faire respecter la séparation des fonctions pour une sécurité accrue. Même si vous utilisez web conforme PCI hébergement, le nuage est vraiment une forme de propriété partagée, et les organisations doivent reconnaître qu'ils pourraient avoir à prouver la sécurité et les mesures de sécurité aux auditeurs dans ces conditions. Le chiffrement est une stratégie essentielle pour la réalisation de ces objectifs.
Responsabilités de la compréhension
La responsabilité de garantir la conformité PCI s'étend au-delà de votre entreprise à l'hyperviseur lui-même. Votre entreprise et votre fournisseur de cloud doivent utiliser les services de conformité PCI et maintenir la documentation de ce que vous croyez est « dans l'étendue." Ce terme un peu vague s'étend pour couvrir toutes les solutions de gestion de nuage qui fournissent des services automatisés et plates-formes, surtout quand l'hyperviseur lui-même est considéré dans la portée. Pour rester sur le côté sécuritaire, supposons que tout services virtuels que vous utilisez devraient être PCI conforme, y compris l'hébergement web et définir clairement quels éléments de sécurité sont dont la responsabilité.
Afin d'assurer la conformité PCI, en utilisant le cloud public pour des données sensibles est irréaliste. Les exigences de la segmentation et la portée des directives de conformité applicables font segmentation et contrôles isolés un must pour le stockage sûr et sécurisé et de transmission des données de titulaire de la carte.
Il est important de se rappeler qu'il n'est plus que juste relever les directives PCI DSS. Vous devez aussi montrer vos efforts à un auditeur, si nécessaire, et elles doivent aussi s'entendre que vos efforts constituent conformité PCI. Les mesures que vous prenez direction de conformité doivent être documentées et traçable, et aidera à avoir une délimitation claire des responsabilités.
Conformité dans le nuage
Réalisation PCI DSS conformité tout en profitant toujours de tout ce que le cloud services ont à offrir n'est pas facile. Des recherches récentes indiquent que la grande majorité des violations de données (90 %) ont eu lieu dans les organisations qui n'avaient pas encore atteint la conformité ; Ces chiffres sont en regardant conformité standard, sans prendre le nuage en considération. Avec l'inclusion des directives virtualisation PCI DSS, une autre couche de prescriptions sont ajoutés pour les entreprises de suivre. Pourtant, une autre façon de regarder ces lignes directrices est que les entreprises gagnent une autre couche de sécurité à leurs titulaires, qui aide les patrons se sentent confiants en continuant comme votre base de clients.
Bien que les exigences en matière de virtualisation peuvent sembler ambitieuses de l'extérieur, n'oubliez pas que l'intention est de réduire les risques pour les détenteur de la carte et marchand aussi bien. Il semble clair que la virtualisation est l'avenir du stockage des données ainsi que les affaires quotidiennes, et atteindre PCI compliance plutôt tôt que tard peut vous faire économiser temps et argent tout en protégeant vos clients.