由于与其他主题相对频繁,因此Google最近发布了一组准则,以帮助组织确保其在Google的云平台之上运行的任何付款处理应用程序完全符合PCI DSS的要求。
支付卡行业数据安全标准是指一组安全控件,所有处理信用卡和借记卡数据的组织都必须实现这些控件。要求因组织一年处理的信用卡交易次数而异。
不合规且遭受支付卡违规的组织可能会受到包括万事达卡,维萨卡和美国运通卡等主要信用卡协会的严厉罚款和其他处罚。
Google的指南专门针对已聘请PCI验证的第三方来处理其付款处理要求的电子商务商人。属于此类别的商户是那些其网站接受支付卡交易但不自行电子存储,处理或传输任何持卡人信息的商户。
Google云解决方案架构师Peter-Mark Verwoerd在最近的博客文章中表示,Google的教程旨在帮助此类组织在公司的云平台上设计,部署和配置符合PCI的支付应用程序。
为此,Google的教程使用了一个电子商务网站的示例,该网站出售企业会计软件服务的订阅,以指导用户如何设置符合PCI的支付应用程序。
该示例网站旨在让客户将其信用卡或借记卡信息输入为电子商务网站拥有和维护的表格。它被配置为安全地将表单中输入的所有支付卡信息发送到外部支付处理器(在这种情况下为Google)。处理器检查卡信息,然后批准或拒绝交易,然后将该信息中继回电子商务站点的付款应用程序。
根据Google的说法,其云平台的客户可以利用其众多技术和服务来实施符合PCI的支付应用程序。该公司表示,例如,诸如Google Cloud Deployment Manager之类的技术可以帮助组织自动化许多与应用程序部署相关的关键任务,并允许管理员使用简单的命令来设置防火墙规则,负载平衡器和云网关。谷歌表示,使用Cloud Deployment Manager为管理员带来了额外的好处,即可以构建有关环境创建和部署方式的审计跟踪。
同样,Puppet,Chef和Ansible等自动配置管理工具可以帮助组织从应用程序配置中消除很多复杂性和繁琐的工作。
此外,Google Compute Engine提供了一个易于使用的应用程序,用于接受信用卡数据并将其安全地传递到处理器,而诸如Stackdriver之类的托管服务应用程序则支持应用程序监视和日志记录。Google指南还吹捧将公司的BigQuery数据分析服务用于日志分析目的以及针对日志数据运行临时查询。