谷歌云存储 PCI 兼容吗？

Question

这里是Google Cloud Platform: Customer Responsibility Matrix。本文档基本上涵盖了所有 PCI DSS 要求，并解释了 GCP 做什么以及客户应该做什么。

This 文档指出 Google Cloud Storage 在 PCI DSS 的范围内。

This GCP 链接指出“要求 3.4 规定 PAN 必须在其存储的任何地方都不可读。虽然 Google 自动提供静态加密，但它不会自动执行单向哈希、截断或规则也要求的标记化。”

但是，我无法找到明确表明 Google Cloud 存储符合 PCI 标准的证据，因为它是来自云提供商的服务。

是否有官方文件声称 Google Cloud Storage 作为一项服务符合 PCI 标准？

一份文件讨论了 GCP 如何实现谷歌云存储的 PCI DSS 合规性，而不是如何满足客户设置的要求？

Answer 1

您似乎在这里问了两个问题：

(1) Google Cloud Platform (GCP) 支付卡行业数据安全标准 (PCI DSS) 是否经过认证？

(2) Google 云存储 (GCS) PCI DSS 是否符合要求？

以下是我们的公共文档中提供的答案：

1) GCP 已通过 PCI DSS 认证，announcement 和我们的 official doc 明确指出：

"Google Cloud 每年都会接受第三方审核以进行认证 针对 PCI DSS 的单个产品。这意味着这些 服务提供客户可以构建自己的基础架构 存储、处理或传输持卡人的服务或应用程序 数据。”

如您所知，PCI DSS 是信用卡公司编写的标准，用于处理来自消费者的信用卡信息的安全性。正如我们的文档所揭示的那样，云提供商 (GCP) 和消费者/客户（您）之间的共同责任是需要被认证为平台，他们的责任是在 GCP 上实施/构建合规服务。

2) 云存储符合 PCI DSS 标准，正如您在 official statement 中看到的那样

"以下 Google Cloud 服务已经过审核 独立的合格安全评估员并被确定为 PCI DSS 3.2 合规。这意味着这些服务提供了一个基础架构，客户可以在此基础上构建自己的服务或 存储、处理或传输持卡人数据的应用程序。我们 已创建此矩阵以帮助解释共同责任 Google 与其客户之间的关系。”

根据“是否有官方文件声称 Google Cloud Storage 作为一项服务符合 PCI 标准？”请参阅 this documentation 和 this reference，这表明 GCS 是一项符合 PCI DSS 合规性的服务。当然，当您构建使用 GCS 的解决方案时，您需要以符合 PCI DSS 的方式进行。

请注意，您引用的Google Cloud Platform: Customer Responsibility Matrix 中也有相同的共同责任声明。 我们建议客户在追求 PCI 合规性时参考责任矩阵，并在进行自己的 PCI 审核时发现它是一个有用的工具。

根据“关于 GCP 如何实现谷歌云存储的 PCI DSS 合规性而不是如何满足客户设置要求的文档？”再次参考 this doc 声明，“Google Cloud 每年都会接受第三方审核，以根据 PCI DSS 对单个产品进行认证。”

我们还发布了您引用的advice on building PCI compliant services on GCP。这是一个example，介绍了如何在 GCP 上构建符合 PCI DSS 的服务。这是使用我们工具的example of how a customer's GCS based service meets PCI DSS compliance。

希望这有助于澄清我们的公共文档中关于 PCI DSS 合规性的陈述。