Google Cloud Storage PCI兼容吗?

时间:2019-06-26 12:00:32

标签: google-cloud-platform google-cloud-storage pci-compliance pci-dss

这里是Google Cloud Platform: Customer Responsibility Matrix。该文档主要介绍了PCI DSS的所有要求,并说明了GCP所做的工作以及客户应完成的工作。

This文档指出Google Cloud Storage适用于PCI DSS。

This GCP链接指出,“ 要求3.4规定,存储在任何地方的PAN都必须不可读。虽然Google自动提供静态加密,但它不会自动执行以下操作:规则还需要的方式散列,截断或标记化。

但是,我找不到证据明确表明Google Cloud Storage符合PCI,因为它是云提供商提供的服务。


是否有官方文件声称Google Cloud Storage作为服务兼容PCI?

有关GCP如何实现Google Cloud Storage的PCI DSS合规性而不是如何满足客户设置要求的文档?

1 个答案:

答案 0 :(得分:4)

您似乎在这里问了两个问题:

(1) Google Cloud Platform(GCP)支付卡行业数据安全标准(PCI DSS)是否通过认证?

(2) Google Cloud Storage(GCS)PCI DSS是否兼容?

以下是我们的公共文档中提供的答案:

1) GCP已通过PCI DSS认证,因为此announcement和我们的official doc明确声明:

  

Google Cloud接受年度第三方审核以证明   针对PCI DSS的单个产品。这意味着这些   服务提供客户可以建立自己的基础架构   存储,处理或传输持卡人的服务或应用程序   数据。”

您知道,PCI DSS是信用卡公司编写的标准,用于处理来自消费者的信用卡信息的安全性。正如我们的文档所揭示的,这是需要被认证为平台的云提供商(GCP)与消费者/客户(you)的共同责任,消费者/客户的责任是在GCP上实施/构建兼容的服务。

2)云存储符合PCI DSS ,如您在此official statement

中所见
  

以下Google Cloud服务已由   独立的合格安全评估员,确定为PCI DSS   符合3.2版。这意味着这些服务提供了一个基础结构,客户可以在此基础上构建自己的服务,或者   存储,处理或传输持卡人数据的应用程序。我们   创建了此矩阵以帮助解释共同责任   在Google及其客户之间。”

每个“是否有官方文件声称Google Cloud Storage作为服务兼容PCI?”请参阅this documentationthis reference,它们表明GCS是符合PCI DSS规范的服务。但是,当然,当您设计一个使用GCS的解决方案时,您需要以符合PCI DSS的方式进行。

请注意,您引用的Google Cloud Platform: Customer Responsibility Matrix中也呼应相同的共同责任声明。 我们建议客户在追求PCI合规性时参考责任矩阵,并在进行自己的PCI审核时发现它是一个有用的工具。

每“一个文档,其中讨论了GCP如何实现Google Cloud Storage的PCI DSS合规性,而不是如何满足客户的设置要求?”再次参考this doc,其中指出:“ Google Cloud接受年度第三方审核,以根据PCI DSS认证单个产品。”

我们还发布了您引用的advice on building PCI compliant services on GCP。这是example,介绍如何在GCP上构建符合PCI DSS的服务。这是使用我们的工具的example of how a customer's GCS based service meets PCI DSS compliance

希望这有助于弄清我们的公共文档中有关PCI DSS合规性的内容。