PCI云中漫步

2019-11-23

atsec China非常荣幸地再次受邀参加2019年11月20日-21日在澳大利亚墨尔本举行的2019年度亚太社区会议,并且再次设置展位提供更多的产业技术交流。下图是atsec在本次亚太社区会议中的展位照片。

atsec的两位资深顾问在本次会议中基于PCI DSS评估的实际项目经验, 分享了题为 “PCI 云中漫步”的演讲,其中特别关注了云环境中的合规难度、挑战,以及相应的解决方案。在本次分享中,邀请了腾讯云作为云服务提供商之一分享了腾讯云的诸多法规和标准领域的合规认证经验,以及其自身的数据安全模型。

本次演讲中重点针对常见的两种云服务模型:云支付产品(基于SaaS 模型)和基于云的支付服务(基于IAAS模型)的风险区别,各自面临的挑战和机遇进行了详细地阐述和分析。此外,atsec在大会中也分享了“基于PCI DSS的云用户数据安全标准白皮书”,该白皮书是由腾讯云和atsec于2019年7月正式发布,详细分析和阐述了云服务提供商CSP和云客户之间的责任分担问题及解决方案。对于云客户而言,选择白皮书中针对责任分担所提到的合适的技术解决方案将对满足PCI DSS安全要求有指导意义。

另外,在演讲中也谈及了atsec在两年前精心制作的名为“PCI DSS宝典”的竹简。它包含了维护持续合规的关键安全要求。atsec 鼓励客户将PCI DSS要求贯穿和整合到日常工作中。通常来讲,古代书籍(例如: 由孙武撰写的中国古代著名书籍《孙子兵法》)需要将庞大的知识尽可能精简和提炼,然而在其简练的文字背后蕴含了渊博的知识。而现代的标准则更需要完整及准确,以便解决该标准所适用的所有类型的问题。无论是宝典还是现代标准的PCI DSS,持续坚持高品质的实施和评估验证非常重要。

合规和评估的过程本身是一件浪漫的事,尽管机构面临与安全标准之间的差距整改工作可能存在技术难度和挑战,但最终实现合规的价值也是显而易见的。就像电影“云中漫步”中主角们寻找真正爱情的过程一样,atsec希望产业能携手合作,准备好应对各种新技术的变化所带来的安全问题,例如云计算,物联网安全,移动支付,AI,等等,寻求合规的真正意义,共同推动产业信息安全。

本次演讲的内容可在以下链接下载:
http://www.atsec.cn/downloads/pdf/A_PCI_Walk_In_The_Clouds.pdf