这里是Google Cloud Platform: Customer Responsibility Matrix。该文档主要介绍了PCI DSS的所有要求,并说明了GCP所做的工作以及客户应完成的工作。
This文档指出Google Cloud Storage适用于PCI DSS。
This GCP链接指出,“ 要求3.4规定,存储在任何地方的PAN都必须不可读。虽然Google自动提供静态加密,但它不会自动执行以下操作:规则还需要的方式散列,截断或标记化。 ”
但是,我找不到证据明确表明Google Cloud Storage符合PCI,因为它是云提供商提供的服务。
是否有官方文件声称Google Cloud Storage作为服务兼容PCI?
有关GCP如何实现Google Cloud Storage的PCI DSS合规性而不是如何满足客户设置要求的文档?
答案 0 :(得分:4)
您似乎在这里问了两个问题:
(1) Google Cloud Platform(GCP)支付卡行业数据安全标准(PCI DSS)是否通过认证?
(2) Google Cloud Storage(GCS)PCI DSS是否兼容?
以下是我们的公共文档中提供的答案:
1) GCP已通过PCI DSS认证,因为此announcement和我们的official doc明确声明:
” Google Cloud接受年度第三方审核以证明 针对PCI DSS的单个产品。这意味着这些 服务提供客户可以建立自己的基础架构 存储,处理或传输持卡人的服务或应用程序 数据。”
您知道,PCI DSS是信用卡公司编写的标准,用于处理来自消费者的信用卡信息的安全性。正如我们的文档所揭示的,这是需要被认证为平台的云提供商(GCP)与消费者/客户(you)的共同责任,消费者/客户的责任是在GCP上实施/构建兼容的服务。
2)云存储符合PCI DSS ,如您在此official statement
中所见“ 以下Google Cloud服务已由 独立的合格安全评估员,确定为PCI DSS 符合3.2版。这意味着这些服务提供了一个基础结构,客户可以在此基础上构建自己的服务,或者 存储,处理或传输持卡人数据的应用程序。我们 创建了此矩阵以帮助解释共同责任 在Google及其客户之间。”
每个“是否有官方文件声称Google Cloud Storage作为服务兼容PCI?”请参阅this documentation和this reference,它们表明GCS是符合PCI DSS规范的服务。但是,当然,当您设计一个使用GCS的解决方案时,您需要以符合PCI DSS的方式进行。
请注意,您引用的Google Cloud Platform: Customer Responsibility Matrix中也呼应相同的共同责任声明。 我们建议客户在追求PCI合规性时参考责任矩阵,并在进行自己的PCI审核时发现它是一个有用的工具。
每“一个文档,其中讨论了GCP如何实现Google Cloud Storage的PCI DSS合规性,而不是如何满足客户的设置要求?”再次参考this doc,其中指出:“ Google Cloud接受年度第三方审核,以根据PCI DSS认证单个产品。”
我们还发布了您引用的advice on building PCI compliant services on GCP。这是example,介绍如何在GCP上构建符合PCI DSS的服务。这是使用我们的工具的example of how a customer's GCS based service meets PCI DSS compliance。
希望这有助于弄清我们的公共文档中有关PCI DSS合规性的内容。