Amazon y PCI DSS: guía práctica para alinear AWS en un entorno de datos de tarjeta de pago

David E. Acosta Rodríguez
Consultor en Seguridad de la Información PCI QSA, CISSP Instructor, CISM, CISA, CRISC, BS25999 LA, CCNA Security, CHFI Trainer, OPST

INTERNET SECURITY AUDITORS

Cuando por consideraciones técnicas o administrativas se opta por delegar la gestión de ciertos componentes o de la totalidad de la infraestructura informática de la organización a un tercero, es imprescindible garantizar que los niveles de seguridad que dicho tercero aplicará serán iguales o mejores a los que la propia organización mantiene. Adicionalmente, si el entorno delegado debe cumplir con requerimientos legales o estándares de la industria, la responsabilidad de parte y parte debe quedar claramente estipulada en términos contractuales. Este es el caso de los servicios de Amazon en la nube (Amazon AWS) y el cumplimiento de PCI DSS. A pesar que el proveedor (CSP) ofrece una gran cantidad de servicios para configurar la infraestructura de forma segura, es finalmente el cliente el responsable de la seguridad de los datos y de la configuración de los servicios que se ejecutan sobre la capa provista por Amazon. Por otro lado, la complejidad en el despliegue de una solución de estas características implica un alto conocimiento tanto de la plataforma del CSP como de la aplicación de los controles de PCI DSS. Finalmente, en este artículo se ha plasmado el despliegue técnico de controles empleando las funcionalidades provistas por un CSP como Amazon.