Fazer negócios na nuvem oferece enormes benefícios, incluindo uma economia significativa, bem como reduzir sua pegada de IT. Cloud computing fornece mais flexibilidade quando se trata de mudar suas necessidades e muito menos sobrecarga. No entanto, sem uma abordagem sistemática para virtualização que contempla serviços de conformidade de PCI, empresas podem abrir-se até riscos maiores. Este guia irá cobrir o essencial das orientações de virtualização em conformidade com o previsto pelo PCI DSS.
Ficar seguro
Só porque você seguir as diretrizes de virtualização do PCI DSS 2.0 não significa que você está tão seguro como você poderia ser. As recomendações para o uso de virtualização e cloud computing para armazenamento de dados da PCI podem oferecer muita informação sobre os princípios básicos de proteção, mas que não é um substituto para uma estratégia abrangente de segurança.
Criptografia deve ser incorporada como um componente essencial de proteção de dados na nuvem. Criptografia, quando usado corretamente e, muitas vezes, prova de isolamento de dados em ambientes multitenant e também serve para impor a separação das funções de segurança adicional. Mesmo quando usando PCI compatível com web hospedagem, a nuvem é realmente uma forma de Propriedade compartilhada e organizações precisam reconhecer que eles podem ter que comprovar a segurança e as medidas de segurança para contas nestas condições. A criptografia é uma estratégia-chave para a realização destes objectivos.
Noções básicas sobre responsabilidades
A responsabilidade de garantir a conformidade de PCI se estende para além de sua empresa para o hipervisor propriamente dito. Seu negócio e seu provedor de nuvem devem usar serviços de conformidade de PCI e manter a documentação de que você acredita é "alcance." Este termo um pouco vago estende-se para cobrir todas as soluções de gerenciamento de nuvem que fornecem serviços automatizados e plataformas, especialmente quando o próprio hipervisor é considerado em. Para ficar do lado seguro, supor que qualquer serviços virtuais que você usar devem ser PCI compatível, incluindo hospedagem e definir claramente quais elementos de segurança são de sua responsabilidade.
A fim de garantir a conformidade de PCI, usando a nuvem pública para dados sensíveis é irrealista. Os requisitos de segmentação e escopo das diretrizes de conformidade aplicável fazem segmentação e controles isolados de uma obrigação para o armazenamento seguro e transmissão de dados de titulares de cartão.
É importante lembrar que a conformidade é sobre mais do que apenas atender as diretrizes do PCI DSS. Você também precisa mostrar seus esforços para um revisor de contas, se necessário, e eles também devem concordar que seus esforços constituem a conformidade de PCI. As etapas que você tomar para conformidade precisam ser documentada e rastreáveis, e ter uma definição clara de responsabilidade vai ajudar.
Conformidade na nuvem
Alcançar o PCI DSS conformidade ainda aproveitar tudo o que cloud services tem para oferecer não é fácil. Pesquisas recentes indicam que a grande maioria das violações de dados (90 por cento) ocorreu em organizações que ainda não tinham alcançado a conformidade; esses números estão olhando para conformidade de padrão, sem levar a nuvem em consideração. Com a inclusão das orientações de virtualização PCI DSS, outra camada de requisitos são adicionados para empresas acompanhar. Ainda, outra maneira de olhar para estas orientações é que as empresas estão ganhando uma outra camada de segurança para seus clientes, que ajuda a patronos sentem confiantes em continuar como sua base de clientes.
Embora os requisitos de virtualização podem olhar grande alcance de fora, lembre-se que a intenção é reduzir o risco para o titular do cartão e o comerciante tanto. Parece claro que a virtualização é o futuro do armazenamento de dados, bem como a actividade diária e alcançar PCI compliance mais cedo ou mais tarde você pode economizar tempo e dinheiro, protegendo seus clientes.