セキュリティ標準&法令
FIPS 140
FIPS 140-2:米国政府が承認した暗号モジュールセキュリティ標準です。
レベル1: 一番低いレベルであり、非常に限定した要件を課する; 大まかに、すべてのコンポーネントが製品品質であり、甚だしくセキュリティの欠如がないこと。
レベル2: レベル1に次の要件を加える; 物理的な改竄の痕跡を残すこと、及びオペレータの役割ベースでの認証1を行うこと。 レベル3: レベル2に次の要件を加える; 物理的な改竄への耐性(モジュール中に含まれる取扱注意情報への攻撃者のアクセスを困難にする)を持つこと、オペレータのIDベースでの認証1を行うこと、及び重要なセキュリティパラメータがモジュールに出入力するインタフェースと、その他のインタフェースとを物理的又は論理的に分離すること。 レベル4: 物理的なセキュリティ要件がより厳格となり、環境条件を変動させての攻撃に対して頑健であることを要求する。
Cloud HSM は レベル3認定
ISO27001, ISO27002
ISO 27001:情報セキュリティ管理システム(ISMS)のための国際標準です。全般的な情報セキュリティを対象としています。
ISO 27002:情報セキュリティ管理のためのベストプラクティスとコントロールを提供する標準です。主に組織の情報セキュリティポリシーの設定と実行に利用されます。
ISO27017, ISO27018
ISO 27017:クラウドサービスの提供と利用に特化した、情報セキュリティ管理のための国際標準です。
ISO 27018:パーソナルデータを保護するための、クラウドコンピューティングサービスに特化した国際標準です。
法令等
FedRAMP High: Federal Risk and Authorization Management Program
米国政府規模のプログラムであり、クラウド関連のプロダクトとサービスのセキュリティ評価、認可、継続的モニタリング
HIPAA: Health Insurance Portability and Accountability Act
個人の医療情報を保護することを目的として、 特定の団体や個人に対し定めたプライバシーとセキュリティ要件の米国の連邦法
SOC: 米国の公開会社の会計および財務レポート
s PCI DSS: Payment Card Industry Data Security Standard PCI Security Standards Council で採択されたネットワークセキュリティおよびベストプラクティス、決済カード情報を保護する最小限のセキュリティ基準
これはおもしろい
SAQ タイプ
A: 支払いカードの処理を第三者のサイトに完全委託した事業者
iframe で切る、カードデータに触れない
A-EP: 支払い処理を第三者のプロバイダに委託するが、処理中の任意の時点でお客様のカードデータにアクセスできる事業者。
js や css で表示、事業者がホストするコンテンツを支払い事業者がレンダリング、js やアプリ SDK 経由でカードデータに触れる状態
D: オンラインで支払いを受け付けるが、SAQ A または SAQ A-EP の資格を持たない事業者
A でも EP でもない、クライアント側ではなく事業者サーバーから支払い事業者の API 呼ぶ
PCI SSC クラウドコンピューティングガイドライン: Payment Card Industry Security Standards Council (組織) の提供する DSS 準拠についてのガイドライン
キーワードマッチくん
FIPS 140-2 L3 以上 → Cloud HSM(KMS は L3 じゃない)
FedRAMP → Assured Workload
政府機関・公共セクター案件 → FedRAMP を考慮
クレジットカード決済、ネットワーク分離要件など → PCI DSS