(《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》在CSS 2019云安全專場上發(fā)布)
清晰責任分攤�����,填補數(shù)據(jù)安全合規(guī)標準空白
隨著云計算產(chǎn)業(yè)的快速發(fā)展��,云計算在降低成本����,簡化IT 運維和管理,集成的安全性����,易于部署,簡化合規(guī)流程等方面的優(yōu)勢越來越明顯�,產(chǎn)業(yè)互聯(lián)網(wǎng)企業(yè)越來越多著手通過使用云計算提供的便捷服務來實現(xiàn)業(yè)務目標。
而PCI DSS
雖然是支付卡行業(yè)的數(shù)據(jù)安全國際標準�����,但是該標準圍繞數(shù)據(jù)安全的核心要求�,提出了一整套完整的規(guī)范要求,也稱“要求最嚴格的數(shù)據(jù)安全標準”��。發(fā)布十余年以來�����,該標準已經(jīng)在全球范圍內(nèi)形成統(tǒng)一標準,并且作為在數(shù)據(jù)安全合規(guī)領域最早的規(guī)范要求�,獲得了廣泛認可和實施,推動了數(shù)據(jù)安全防護水平����。
但在今天,隨著云計算應用場景的增多�����,以及威脅呈現(xiàn)出的多樣化趨勢�����,云用戶和云服務提供商在合規(guī)過程中所存在的責任相互交疊部分,也越來越影響數(shù)據(jù)安全和防護���。此外�����,目前也并沒有一份詳細的針對云環(huán)境下每個數(shù)據(jù)安全標準點的責任細分����。
為彌補這一空白,此次騰訊安全發(fā)布的《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》��,基于國際范圍內(nèi)得到最廣泛認可和運用的數(shù)據(jù)安全標準PCI
DSS��,提出了數(shù)據(jù)安全合規(guī)建設的方法論�����,同時也盡可能詳細地將合規(guī)要求落到實處�,特別是“云服務提供商與云用戶的PCI DSS
合規(guī)要求責任分析”,詳細詮釋了云服務提供商和云用戶在基于PCI DSS 實施數(shù)據(jù)安全合規(guī)時��,逐條闡述了各自責任和具體工作���。
推動標準升級���,助力企業(yè)構建安全核心競爭力
在本屆互聯(lián)網(wǎng)安全領袖峰會上,騰訊公司云與智慧產(chǎn)業(yè)總裁湯道生曾表示�����,產(chǎn)業(yè)安全降本增效價值逐步顯現(xiàn),已成為數(shù)字時代企業(yè)核心競爭力之一�����。
然而對處于產(chǎn)業(yè)數(shù)字化轉型期����,普遍面臨人才匱乏、技術短缺����、經(jīng)驗匱乏的企業(yè)而言,如果通過上云構建新的競爭力���,應對日益復雜的業(yè)務場景安全需求�����,依舊是最大的痛點和難題�。同時��,隨著監(jiān)管升級��,企業(yè)在選擇云平臺的時候�,不僅要考慮合規(guī)需求,還要考慮如何厘清責任界線�����,明確合作雙方的責任劃分����。
在騰訊副總裁丁珂看來,借助成熟的平臺和行業(yè)經(jīng)驗��,無疑是這些企業(yè)加速數(shù)字化轉型的最佳選擇���?����!霸谙M互聯(lián)網(wǎng)時代��,騰訊致力于為用戶提供可靠的安全產(chǎn)品和服務��,做用戶安全的守護者�����;在產(chǎn)業(yè)互聯(lián)網(wǎng)安全時代�����,我們定位為產(chǎn)業(yè)數(shù)字化升級的安全戰(zhàn)略官��,致力于幫助我們的企業(yè)客戶����,在數(shù)字化轉型的過程中系統(tǒng)化的構建安全能力,同時滿足成本和效率兩方面的平衡����。”
憑借騰訊20年的安全經(jīng)驗和積累��,騰訊安全為云平臺搭建了強大的縱深安全防御體系����,數(shù)據(jù)安全一直是其中至關重要的一環(huán)。事實上��,早在2017 年12
月����,騰訊就已經(jīng)在《騰訊云數(shù)據(jù)安全白皮書》中,明確提出了云端數(shù)據(jù)保護責任模型�。騰訊云負責云平臺的安全,并協(xié)助客戶保障其云端數(shù)據(jù)的安全�����。為了更好地保護客戶托管于云端的數(shù)據(jù)資產(chǎn)��,騰訊云從平臺層和賦能層兩個層面為云服務客戶提供雙重保障�����。平臺層提供的保障全面覆蓋數(shù)據(jù)安全事前防范�����、事中保護和事后追溯三個階段�,而賦能層則圍繞數(shù)據(jù)全生命周期給出一站式的解決方案供客戶選用,以幫助客戶最大程度地降低在流程�、技術以及合規(guī)方面的數(shù)據(jù)安全風險。
而《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》中也指出���,通過云服務提供商和云用戶在PCI DSS
合規(guī)過程中的詳細責任分析����,云用戶將會清晰了解如何更好地利用云服務提供商所提供的合規(guī)產(chǎn)品,幫助云用戶高效����、快速地達到PCI DSS
的標準要求,同時云服務提供商也能依據(jù)責任分攤模型�,更高效地改善云產(chǎn)品并提高服務水平。此外�,該白皮書內(nèi)也清晰的羅列了騰訊云復合PCI DSS
標準要求的產(chǎn)品,云用戶可通過選擇合適的產(chǎn)品縮短PCI DSS 合規(guī)時間周期同時可降低運維復雜度和成本���。
愛特賽克中國常務董事劉巖表示����,數(shù)據(jù)安全合規(guī)并不是一次性工作��,產(chǎn)業(yè)的技術不斷演進發(fā)展���,同時各個系統(tǒng)組件也會出現(xiàn)新的脆弱性和攻擊模型��。未來��,將持續(xù)聯(lián)合騰訊安全����,致力于該白皮書以及相關技術的更新,不斷監(jiān)控標準以及技術的更新��,從而更好地為產(chǎn)業(yè)合規(guī)做出貢獻�。
