作为支付卡行业的“要求最严格的数据安全标准”,PCI DSS发布十余年以来,已在全球范围内获得了广泛认可和实施。但随着云计算的加速落地,新的问题也随之出现。在刚刚结束的第五届互联网安全领袖峰会(CSS 2019)云安全专场上,腾讯安全重点针对云环境下每个数据安全标准点的责任细分,围绕公有云范畴,联合艾特赛克发布《基于PCI DSS 的云用户数据安全合规白皮书》,希望帮助厘清云用户和云服务提供商的安全责任,从而清晰、高效地协助云用户达到基于PCI DSS 的数据安全标准要求。
(《基于PCI DSS 的云用户数据安全合规白皮书》在CSS 2019云安全专场上发布)
清晰责任分摊,填补数据安全合规标准空白
随着云计算产业的快速发展,云计算在降低成本,简化IT 运维和管理,集成的安全性,易于部署,简化合规流程等方面的优势越来越明显,产业互联网企业越来越多着手通过使用云计算提供的便捷服务来实现业务目标。
而PCI DSS 虽然是支付卡行业的数据安全国际标准,但是该标准围绕数据安全的核心要求,提出了一整套完整的规范要求,也称“要求最严格的数据安全标准”。发布十余年以来,该标准已经在全球范围内形成统一标准,并且作为在数据安全合规领域最早的规范要求,获得了广泛认可和实施,推动了数据安全防护水平。
但在今天,随着云计算应用场景的增多,以及威胁呈现出的多样化趋势,云用户和云服务提供商在合规过程中所存在的责任相互交叠部分,也越来越影响数据安全和防护。此外,目前也并没有一份详细的针对云环境下每个数据安全标准点的责任细分。
为弥补这一空白,此次腾讯安全发布的《基于PCI DSS 的云用户数据安全合规白皮书》,基于国际范围内得到最广泛认可和运用的数据安全标准PCI DSS,提出了数据安全合规建设的方法论,同时也尽可能详细地将合规要求落到实处,特别是“云服务提供商与云用户的PCI DSS 合规要求责任分析”,详细诠释了云服务提供商和云用户在基于PCI DSS 实施数据安全合规时,逐条阐述了各自责任和具体工作。
推动标准升级,助力企业构建安全核心竞争力
在本届互联网安全领袖峰会上,腾讯公司云与智慧产业总裁汤道生曾表示,产业安全降本增效价值逐步显现,已成为数字时代企业核心竞争力之一。
然而对处于产业数字化转型期,普遍面临人才匮乏、技术短缺、经验匮乏的企业而言,如果通过上云构建新的竞争力,应对日益复杂的业务场景安全需求,依旧是最大的痛点和难题。同时,随着监管升级,企业在选择云平台的时候,不仅要考虑合规需求,还要考虑如何厘清责任界线,明确合作双方的责任划分。
在腾讯副总裁丁珂看来,借助成熟的平台和行业经验,无疑是这些企业加速数字化转型的最佳选择。“在消费互联网时代,腾讯致力于为用户提供可靠的安全产品和服务,做用户安全的守护者;在产业互联网安全时代,我们定位为产业数字化升级的安全战略官,致力于帮助我们的企业客户,在数字化转型的过程中系统化的构建安全能力,同时满足成本和效率两方面的平衡。”
凭借腾讯20年的安全经验和积累,腾讯安全为云平台搭建了强大的纵深安全防御体系,数据安全一直是其中至关重要的一环。事实上,早在2017 年12 月,腾讯就已经在《腾讯云数据安全白皮书》中,明确提出了云端数据保护责任模型。腾讯云负责云平台的安全,并协助客户保障其云端数据的安全。为了更好地保护客户托管于云端的数据资产,腾讯云从平台层和赋能层两个层面为云服务客户提供双重保障。平台层提供的保障全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段,而赋能层则围绕数据全生命周期给出一站式的解决方案供客户选用,以帮助客户最大程度地降低在流程、技术以及合规方面的数据安全风险。
而《基于PCI DSS 的云用户数据安全合规白皮书》中也指出,通过云服务提供商和云用户在PCI DSS 合规过程中的详细责任分析,云用户将会清晰了解如何更好地利用云服务提供商所提供的合规产品,帮助云用户高效、快速地达到PCI DSS 的标准要求,同时云服务提供商也能依据责任分摊模型,更高效地改善云产品并提高服务水平。此外,该白皮书内也清晰的罗列了腾讯云复合PCI DSS 标准要求的产品,云用户可通过选择合适的产品缩短PCI DSS 合规时间周期同时可降低运维复杂度和成本。
爱特赛克中国常务董事刘岩表示,数据安全合规并不是一次性工作,产业的技术不断演进发展,同时各个系统组件也会出现新的脆弱性和攻击模型。未来,将持续联合腾讯安全,致力于该白皮书以及相关技术的更新,不断监控标准以及技术的更新,从而更好地为产业合规做出贡献。