騰訊發(fā)布PCI DSS合規(guī)白皮書，填補數(shù)據(jù)安全合規(guī)標準空白

作為支付卡行業(yè)的“要求最嚴格的數(shù)據(jù)安全標準”，PCI DSS發(fā)布十余年以來，已在全球范圍內(nèi)獲得了廣泛認可和實施。但隨著云計算的加速落地，新的問題也隨之出現(xiàn)。在剛剛結(jié)束的第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(CSS 2019)云安全專場上，騰訊安全重點針對云環(huán)境下每個數(shù)據(jù)安全標準點的責(zé)任細分，圍繞公有云范疇，聯(lián)合艾特賽克發(fā)布《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》，希望幫助厘清云用戶和云服務(wù)提供商的安全責(zé)任，從而清晰、高效地協(xié)助云用戶達到基于PCI DSS 的數(shù)據(jù)安全標準要求。

(《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》在CSS 2019云安全專場上發(fā)布)

清晰責(zé)任分攤，填補數(shù)據(jù)安全合規(guī)標準空白

隨著云計算產(chǎn)業(yè)的快速發(fā)展，云計算在降低成本，簡化IT 運維和管理，集成的安全性，易于部署，簡化合規(guī)流程等方面的優(yōu)勢越來越明顯，產(chǎn)業(yè)互聯(lián)網(wǎng)企業(yè)越來越多著手通過使用云計算提供的便捷服務(wù)來實現(xiàn)業(yè)務(wù)目標。

而PCI DSS 雖然是支付卡行業(yè)的數(shù)據(jù)安全國際標準，但是該標準圍繞數(shù)據(jù)安全的核心要求，提出了一整套完整的規(guī)范要求，也稱“要求最嚴格的數(shù)據(jù)安全標準”。發(fā)布十余年以來，該標準已經(jīng)在全球范圍內(nèi)形成統(tǒng)一標準，并且作為在數(shù)據(jù)安全合規(guī)領(lǐng)域最早的規(guī)范要求，獲得了廣泛認可和實施，推動了數(shù)據(jù)安全防護水平。

但在今天，隨著云計算應(yīng)用場景的增多，以及威脅呈現(xiàn)出的多樣化趨勢，云用戶和云服務(wù)提供商在合規(guī)過程中所存在的責(zé)任相互交疊部分，也越來越影響數(shù)據(jù)安全和防護。此外，目前也并沒有一份詳細的針對云環(huán)境下每個數(shù)據(jù)安全標準點的責(zé)任細分。

為彌補這一空白，此次騰訊安全發(fā)布的《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》，基于國際范圍內(nèi)得到最廣泛認可和運用的數(shù)據(jù)安全標準PCI DSS，提出了數(shù)據(jù)安全合規(guī)建設(shè)的方法論，同時也盡可能詳細地將合規(guī)要求落到實處，特別是“云服務(wù)提供商與云用戶的PCI DSS 合規(guī)要求責(zé)任分析”，詳細詮釋了云服務(wù)提供商和云用戶在基于PCI DSS 實施數(shù)據(jù)安全合規(guī)時，逐條闡述了各自責(zé)任和具體工作。

推動標準升級，助力企業(yè)構(gòu)建安全核心競爭力

在本屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會上，騰訊公司云與智慧產(chǎn)業(yè)總裁湯道生曾表示，產(chǎn)業(yè)安全降本增效價值逐步顯現(xiàn)，已成為數(shù)字時代企業(yè)核心競爭力之一。

然而對處于產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型期，普遍面臨人才匱乏、技術(shù)短缺、經(jīng)驗匱乏的企業(yè)而言，如果通過上云構(gòu)建新的競爭力，應(yīng)對日益復(fù)雜的業(yè)務(wù)場景安全需求，依舊是最大的痛點和難題。同時，隨著監(jiān)管升級，企業(yè)在選擇云平臺的時候，不僅要考慮合規(guī)需求，還要考慮如何厘清責(zé)任界線，明確合作雙方的責(zé)任劃分。

在騰訊副總裁丁珂看來，借助成熟的平臺和行業(yè)經(jīng)驗，無疑是這些企業(yè)加速數(shù)字化轉(zhuǎn)型的最佳選擇。“在消費互聯(lián)網(wǎng)時代，騰訊致力于為用戶提供可靠的安全產(chǎn)品和服務(wù)，做用戶安全的守護者;在產(chǎn)業(yè)互聯(lián)網(wǎng)安全時代，我們定位為產(chǎn)業(yè)數(shù)字化升級的安全戰(zhàn)略官，致力于幫助我們的企業(yè)客戶，在數(shù)字化轉(zhuǎn)型的過程中系統(tǒng)化的構(gòu)建安全能力，同時滿足成本和效率兩方面的平衡。”

憑借騰訊20年的安全經(jīng)驗和積累，騰訊安全為云平臺搭建了強大的縱深安全防御體系，數(shù)據(jù)安全一直是其中至關(guān)重要的一環(huán)。事實上，早在2017 年12 月，騰訊就已經(jīng)在《騰訊云數(shù)據(jù)安全白皮書》中，明確提出了云端數(shù)據(jù)保護責(zé)任模型。騰訊云負責(zé)云平臺的安全，并協(xié)助客戶保障其云端數(shù)據(jù)的安全。為了更好地保護客戶托管于云端的數(shù)據(jù)資產(chǎn)，騰訊云從平臺層和賦能層兩個層面為云服務(wù)客戶提供雙重保障。平臺層提供的保障全面覆蓋數(shù)據(jù)安全事前防范、事中保護和事后追溯三個階段，而賦能層則圍繞數(shù)據(jù)全生命周期給出一站式的解決方案供客戶選用，以幫助客戶最大程度地降低在流程、技術(shù)以及合規(guī)方面的數(shù)據(jù)安全風(fēng)險。

而《基于PCI DSS 的云用戶數(shù)據(jù)安全合規(guī)白皮書》中也指出，通過云服務(wù)提供商和云用戶在PCI DSS 合規(guī)過程中的詳細責(zé)任分析，云用戶將會清晰了解如何更好地利用云服務(wù)提供商所提供的合規(guī)產(chǎn)品，幫助云用戶高效、快速地達到PCI DSS 的標準要求，同時云服務(wù)提供商也能依據(jù)責(zé)任分攤模型，更高效地改善云產(chǎn)品并提高服務(wù)水平。此外，該白皮書內(nèi)也清晰的羅列了騰訊云復(fù)合PCI DSS 標準要求的產(chǎn)品，云用戶可通過選擇合適的產(chǎn)品縮短PCI DSS 合規(guī)時間周期同時可降低運維復(fù)雜度和成本。

愛特賽克中國常務(wù)董事劉巖表示，數(shù)據(jù)安全合規(guī)并不是一次性工作，產(chǎn)業(yè)的技術(shù)不斷演進發(fā)展，同時各個系統(tǒng)組件也會出現(xiàn)新的脆弱性和攻擊模型。未來，將持續(xù)聯(lián)合騰訊安全，致力于該白皮書以及相關(guān)技術(shù)的更新，不斷監(jiān)控標準以及技術(shù)的更新，從而更好地為產(chǎn)業(yè)合規(guī)做出貢獻。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。