Google 云存储 PCI 兼容吗?
Is Google Cloud Storage PCI compliant?
这里是Google Cloud Platform: Customer Responsibility Matrix。本文档基本上涵盖了所有 PCI DSS 要求,并解释了 GCP 完成的工作以及客户应该完成的工作。
This 文档指出 Google Cloud Storage 在 PCI DSS 的范围内。
This GCP link 声明“要求 3.4 规定 PAN 在任何存储位置都必须不可读。而 Google 自动提供静态加密,它不会自动执行规则也需要的单向散列、截断或标记化。”
但是,我无法找到明确说明 Google 云存储符合 PCI 标准的证据,因为它是来自云提供商的服务。
是否有一份官方文件声称 Google Cloud Storage 作为一项服务符合 PCI 标准?
一份讨论 GCP 如何实现 google 云存储的 PCI DSS 合规性而不是如何满足客户设置要求的文档?
看来你在这里问了两个问题:
(1) Google 云平台 (GCP) 支付卡行业数据安全标准 (PCI DSS) 是否已通过认证?
(2) Google 云存储 (GCS) 符合 PCI DSS 标准吗?
以下是我们 public 文档中提供的答案:
1) GCP 已通过 PCI DSS 认证,因为 announcement and our official doc 清楚地说明:
"Google Cloud undergoes an annual third-party audit to certify
individual products against the PCI DSS. This means that these
services provide an infrastructure that customers may build their own
services or applications which store, process, or transmit cardholder
data."
如您所知,PCI DSS 是信用卡公司为处理消费者信用卡信息安全而制定的标准。正如我们的文档所揭示的,这是需要作为平台进行认证的云提供商 (GCP) 和 consumer/customer(您)之间的共同责任,后者的责任是 implement/build 合规服务在 GCP 上。
2) 云存储符合 PCI DSS 标准 正如您在此 official statement
中看到的
"The following Google Cloud services have been reviewed by an
independent Qualified Security Assessor and determined to be PCI DSS
3.2 compliant. This means that these services provide an infrastructure upon which customers may build their own service or
application which stores, processes, or transmits cardholder data. We
have created this matrix to help explain the shared responsibility
between Google and its customers."
根据 "Is there an official document which claims Google Cloud Storage to be PCI compliant as a service?" 参考 this documentation and this reference,表明 GCS 是一项符合 PCI DSS 合规性的服务。但是当然,当您设计一个使用 GCS 的解决方案时,您需要以符合 PCI DSS 的方式进行。
请注意,您引用的 Google Cloud Platform: Customer Responsibility Matrix 中也反映了相同的共同责任声明。 我们建议客户在追求 PCI 合规性时参考责任矩阵,并发现它是进行自己的 PCI 审核时的有用工具。
根据 "A document that talks about how GCP achieved PCI DSS compliance for google cloud storage rather than how to fulfill the requirements for the customer's set-up?" 再次参考 this doc 指出,"Google Cloud undergoes an annual third-party audit to certify individual products against the PCI DSS."
我们还使用我们的工具发布了 advice on building PCI compliant services on GCP which you referenced. Here is an example of how to go about building PCI DSS compliant services on GCP. And here's an 。
希望这有助于阐明我们 public 文档中有关 PCI DSS 合规性的陈述。
这里是Google Cloud Platform: Customer Responsibility Matrix。本文档基本上涵盖了所有 PCI DSS 要求,并解释了 GCP 完成的工作以及客户应该完成的工作。
This 文档指出 Google Cloud Storage 在 PCI DSS 的范围内。
This GCP link 声明“要求 3.4 规定 PAN 在任何存储位置都必须不可读。而 Google 自动提供静态加密,它不会自动执行规则也需要的单向散列、截断或标记化。”
但是,我无法找到明确说明 Google 云存储符合 PCI 标准的证据,因为它是来自云提供商的服务。
是否有一份官方文件声称 Google Cloud Storage 作为一项服务符合 PCI 标准?
一份讨论 GCP 如何实现 google 云存储的 PCI DSS 合规性而不是如何满足客户设置要求的文档?
看来你在这里问了两个问题:
(1) Google 云平台 (GCP) 支付卡行业数据安全标准 (PCI DSS) 是否已通过认证?
(2) Google 云存储 (GCS) 符合 PCI DSS 标准吗?
以下是我们 public 文档中提供的答案:
1) GCP 已通过 PCI DSS 认证,因为 announcement and our official doc 清楚地说明:
"Google Cloud undergoes an annual third-party audit to certify individual products against the PCI DSS. This means that these services provide an infrastructure that customers may build their own services or applications which store, process, or transmit cardholder data."
如您所知,PCI DSS 是信用卡公司为处理消费者信用卡信息安全而制定的标准。正如我们的文档所揭示的,这是需要作为平台进行认证的云提供商 (GCP) 和 consumer/customer(您)之间的共同责任,后者的责任是 implement/build 合规服务在 GCP 上。
2) 云存储符合 PCI DSS 标准 正如您在此 official statement
中看到的"The following Google Cloud services have been reviewed by an independent Qualified Security Assessor and determined to be PCI DSS 3.2 compliant. This means that these services provide an infrastructure upon which customers may build their own service or application which stores, processes, or transmits cardholder data. We have created this matrix to help explain the shared responsibility between Google and its customers."
根据 "Is there an official document which claims Google Cloud Storage to be PCI compliant as a service?" 参考 this documentation and this reference,表明 GCS 是一项符合 PCI DSS 合规性的服务。但是当然,当您设计一个使用 GCS 的解决方案时,您需要以符合 PCI DSS 的方式进行。
请注意,您引用的 Google Cloud Platform: Customer Responsibility Matrix 中也反映了相同的共同责任声明。 我们建议客户在追求 PCI 合规性时参考责任矩阵,并发现它是进行自己的 PCI 审核时的有用工具。
根据 "A document that talks about how GCP achieved PCI DSS compliance for google cloud storage rather than how to fulfill the requirements for the customer's set-up?" 再次参考 this doc 指出,"Google Cloud undergoes an annual third-party audit to certify individual products against the PCI DSS."
我们还使用我们的工具发布了 advice on building PCI compliant services on GCP which you referenced. Here is an example of how to go about building PCI DSS compliant services on GCP. And here's an
希望这有助于阐明我们 public 文档中有关 PCI DSS 合规性的陈述。