4.2 金融云安全合规要求

当单位将其业务从传统数据中心迁移至云计算数据中心时，将面临新的安全挑战，其中最大的挑战即为遵从众多监管条例，而面向金融行业开放的云服务是监管最严格的区域，因此云服务提供商除了遵守国际云计算规范、国内政策标准之外，还必须参照金融行业对数据中心和云计算服务的相关要求制定自己的合规策略，以避免潜在的政策风险。在众多法规和行业要求的认证中，包含了准入型审计（pass-through audit）。准入型审计是合规性继承的一种形式，依照合规标准对云供应商的所有或者部分基础设施和服务进行审核。供应商承担这些认证的成本并维护认证。表4.1列举了部分可能会遇到的认证标准、政策法规和规章制度。

但对于以上审计（包括准入型审计），都需要了解其局限性：

❍ 利用审计证明供应商是合规的；

❍ 在云服务上建立合规的应用程序和服务仍是客户的责任；

❍ 供应商的基础设施/服务不在客户审核/评估范围内，但客户建立的自己的一切内容仍在审计范围内；

❍ 客户为自己所建立和维护的部分，承担最终的合规责任。

例如，如果一个IaaS供应商获得了PCI DSS认证，客户可以在该平台上建立自己的PCI合规服务，则该服务属于客户的评估范围，而供应商的基础设施和运营应在客户的评估范围之外。