这是Google Cloud Platform:客户责任矩阵。该文档基本上介绍了所有PCI DSS要求,并说明了GCP完成的工作以及客户应完成的工作。
本文档声明Google Cloud Storage适用于PCI DSS。
此GCP链接指出:“要求3.4规定PAN在存储的任何位置都必须不可读。Google会自动提供静态加密,但不会自动执行规则也要求的单向哈希,截断或标记化。 ”
但是,我无法找到明确表明Google Cloud Storage符合PCI的证据,因为它是云提供商提供的服务。
是否有官方文件声称Google Cloud Storage作为服务兼容PCI?
讨论GCP如何实现Google Cloud Storage的PCI DSS合规性而不是如何满足客户设置要求的文档?
您似乎在这里问了两个问题:
(1)是否已通过Google Cloud Platform(GCP)支付卡行业数据安全标准(PCI DSS)认证?
(2)是否符合Google Cloud Storage(GCS)PCI DSS?
以下是我们的公共文档中可用的答案:
1)GCP是PCI DSS认证,因为这公告和我们的官方文档明确规定:
“ Google Cloud每年接受第三方审核,以针对PCI DSS认证单个产品。这意味着这些服务提供了基础架构,客户可以构建自己的服务或存储,处理或传输持卡人数据的应用程序。”
如您所知,PCI DSS是由信用卡公司编写的标准,用于处理来自消费者的信用卡信息的安全性。正如我们的文档所揭示的,这是需要被认证为平台的云提供商(GCP)与消费者/客户(您)的共同责任,消费者/客户的责任是在GCP上实施/构建兼容服务。
2)如您在此官方声明中所见,云存储符合PCI DSS
“以下Google Cloud服务已由独立的合格安全评估员审查,并确定符合PCI DSS 3.2。这意味着这些服务提供了基础架构,客户可以在此基础上构建自己的服务或应用程序,以存储,处理或传输持卡人数据。我们创建了此矩阵,以帮助解释Google及其客户之间的共同责任。”
根据“是否有一份官方文件声称Google Cloud Storage作为服务兼容PCI?” 请参阅本文档,该参考资料表明GCS是符合PCI DSS规范的服务。但是,当然,当您设计使用GCS的解决方案时,您需要以符合PCI DSS的方式进行。
请注意,您引用的Google Cloud Platform:客户责任矩阵也呼应了相同的共同责任声明。我们建议客户在追求PCI合规性时参考责任矩阵,并在进行自己的PCI审核时发现它是一个有用的工具。
根据“讨论GCP如何实现Google Cloud Storage的PCI DSS合规性而不是如何满足客户设置要求的文档?” 请再次参阅该文档,其中指出:“ Google Cloud接受年度第三方审核,以根据PCI DSS认证单个产品。”
我们还发布了有关在您参考的GCP上构建PCI兼容服务的建议。这是如何在GCP上构建PCI DSS兼容服务的示例。这是一个示例,说明使用我们的工具,客户基于GCS的服务如何满足PCI DSS的要求。
希望这有助于澄清我们的公共文档中有关PCI DSS合规性的内容。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句