如今,说某些东西像银行一样安全已经不是什么了不起的恭维了,更不用说信用卡或便利店的刷卡器了。
尽管如此,媒体和用户论坛提出的可能性是,云安全将被包括在最新的无所不在的更新中支付卡行业数据安全标准(PCI DSS)这引发了关于保护信用卡数据的要求是否会让云服务变得更不安全的争论。
据The 451 Group的分析师乔希·科尔曼(Josh Corman)说,PCI可以给你一个用来衡量安全性的基线,有些人为此过度使用它。“问题是这些要求是特定的,但只针对您用于处理信用卡的系统部分。如果我在巷子里被枪杀,但抢劫犯拿不到我的信用卡,我就能满足PCI标准。”
有关云计算方面的PCI标准辩论的更多信息,请参见PCI安全标准出了什么问题.]
U.S中的每位商家都在接受信用卡必须符合PCI要求,随着事务量升起的。规则覆盖12个主要类别包括信用卡数据在销售点、传输到票据交换所期间的加密,以及存储信用卡数据的数据中心的物理安全。雷竞技电脑网站
PCI缺乏虚拟化细节
然而,根据波耐蒙研究所(Ponemon Institute) 2009年的一项研究,即使是兼容pci的商家也不太喜欢这个标准,只有29%的商家认为这是一项战略举措。根据波耐蒙的数据,44%的人认为它提高了安全性,60%的人缺乏完全符合要求的预算。
小型和中型公司实际上改善了迁移到云的安全性,这是专业管理和担保的云,总结了9月份的研究弗劳恩霍夫安全信息技术研究所.
今天,实际上没有办法知道甚至安全系统是否可以通过PCI审计,因为它是基于云的,因为Corman说,任何类型的虚拟环境都没有具体标准。
PCI安全标准委员会确实释放了其标准的更新,包括如何使用信用卡中使用EMV芯片确保非接触式付款的更详细的指导。
然而,该委员会的总经理Bob Russo表示,该委员会不会提供太多帮助来定义如何保护信用卡或虚拟基础设施或云环境中的任何其他数据。
该委员会确实有一个小组致力于虚拟化,“云计算是其中一种类型”,但“目前委员会没有发布单独的云计算指导方针的计划,”Russo在一封回复问题的电子邮件中说。
Corman说:“两年前,他们本打算在标准的上一个版本中涵盖虚拟化。“如果他们还没有覆盖基于x86的虚拟服务器,那么他们近期内也不会进入云计算领域。”
替代标准
许多IT从业人员质疑PCI的角色但很少有人怀疑云安全标准的必要性。今年3月,IEEE和云安全联盟联合进行的一项研究发现,82%的IT专业人士认为,迫切需要针对云的安全标准。
PCI是一个主要的司机,但即使是非零售商也引用了ISO的信息安全管理标准,欧盟数据隐私立法和美国联邦法规,包括萨班斯 - 奥克斯利和HIPAA,其中一个虚拟或云环境中有等同物。云安全联盟已发出多项指南,包括A.云控制矩阵旨在帮助公司根据可用的安全控制评估云服务。
”如果你有类似的PCI的云,那么至少你会有一个共同的基准方法来判断安全保护客户数据和具体问题,”尼克Popp来说说,负责产品开发的副总裁Verisign的信任和身份验证服务,扩大其基于云服务的范围。“现在还没有人认证;每个人都在从零开始。”
利基玩家,如克隆系统,承诺在私有云平台遵守PCI。
云提供商领车该公司表示,客户可以在其主机服务上找到与pci兼容的系统,不过它的企业云并没有明确承诺这一点。
这并不意味着安全性不到那样,云提供商Termark的客户服务开发高级副总裁Chris Drumgoole的说法,只有未定义的规范是不可能满足的。
因此,云提供商最终会为担心公共云安全性的客户详细列出他们所有的认证和安全防范措施。
“笑话是我们没有云对话与客户,我们有安全对话,”Drumgoole说。“我们必须确保客户看起来不是作为一种神奇的东西,他们可以进入并不用担心安全。它是一个服务的基础架构,但它必须像任何其他基础架构一样安全,通常用于比PCI更高的标准HIPAA,FISMA,很多人。“
Corman说:“PCI是一个相当低的安全标准,但对很多人来说仍然很昂贵。”“对于许多公司来说,合规是预算的终点,而合规应该是你的最低标准。”
从Cio.com上关注Twitter的所有内容@cioonline..
这个故事,“云计算:PCI合规有帮助或伤害安全性?”最初发表CIO. .