GCP and PCI DSS

GCP and PCI DSS Takuya Noguchi @tnir / Tw: @tn961ir
Yoidore GCPUG 2018-06-25 2018-06-25

@tnir: gitlab.com/tnir GitLab Core team Co-organizer of GitLab Tokyo/GitLab.JP Cloud
Native Ambassador, CNCF O2O/FinTech SWE (iRidge, Inc.) GCP Partner / GCP User

PCI DSS https://cloud.google.com/security/compliance/pcidss/ The PCI Security Standards Council is
a global forum for the ongoing development, enhancement, storage, dissemination, and implementation of security standards for account data protection. The Standards Council was established by the major credit card associations (Visa, MasterCard, American Express, Discover, JCB) as a separate organization to de ne appropriate practices that merchants and service providers should follow to protect cardholder data. It is this council of companies that created the Payment Card Industry (PCI) Data Security Standards (DSS). “ “

Google Cloud services that are in scope for PCI DSS:
“ “

PCI DSS https://www.tis.jp/special/platform_knowledge/pci0 1/ ほとんどのインターネットフェイシングなFinTech サービスに必要不可欠、と言っても過言ではない ( と思う。) カード会員データの保護
3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する “ “

PCI DSS 3.2 2016 年4 月公開 →SSL 3.0/TLS 1.0 を削除
→2 年間の猶予で2018-06-30 までの対応が求められている →5/25 のGDPR 同様にみなさん当日即日対応するのか？ removal of SSL/early TLS “ “

FinTech 新規参入が多く変化が厳しい世界。さくっとサービス提供開始したい。 → コンテナやってる場合じゃない。 → 脱コンテナしたい。 → コンテナオーケストレーションだけで議論が繰り広げられる日々。

GAE (App Engine)

GAE の状況例としてGAE/Go(SE) でホストしている docs.djangoproject.jp で確認 https://www.ssllabs.com/ssltest/analyze.html? d=docs.djangoproject.jp&hideResults=on&latest

ということでGAE では... サクッとPCI DSS 準拠(※) サービスを提供開始できない（Web インターフェイスがないシステムは提供できるかもしれません）。 ※
2018-07-01 以降

サクッと適切な暗号化ができる GAE 待ってます...

対応策

コンテナ疲れ脱コンテナ→GAE 検討→PCI DSS 対応→ コンテナ→ コンテナ疲れ...

ちょっと離れてみよう

ちょっと離れてみよう次回GCP/GAE 使うときはこのあたりが改善されているといいな。

PCI DSS 対応経験のある方 (GCP or GAE で) ぜひお話させていただけると嬉しいです。

それではまたいつの日か

参考情報 PCI DSS v3.2 の公開と変更点一覧 http://www.intellilink.co.jp/article/pcidss/21.html https://cloud.google.com/security/compliance/pcidss/ https://cloud.google.com/solutions/pci-dss

GCP and PCI DSS

GCP and PCI DSS

tnir

More Decks by tnir

Other Decks in Technology

Featured

Transcript

GCP and PCI DSS Takuya Noguchi @tnir / Tw: @tn961ir

@tnir: gitlab.com/tnir GitLab Core team Co-organizer of GitLab Tokyo/GitLab.JP Cloud

PCI DSS https://cloud.google.com/security/compliance/pci- dss/ The PCI Security Standards Council is

Google Cloud services that are in scope for PCI DSS:

PCI DSS https://www.tis.jp/special/platform_knowledge/pci0 1/ ほとんどのインターネットフェイシングなFinTech サービスに必要不可欠、と言っても過言ではない ( と思う。) カード会員データの保護

PCI DSS 3.2 2016 年4 月公開 →SSL 3.0/TLS 1.0 を削除

FinTech 新規参入が多く変化が厳しい世界。さくっとサービス提供開始したい。 → コンテナやってる場合じゃない。 → 脱コンテナしたい。 → コンテナオーケストレーションだけで議論が繰り広げられる日々。

GAE (App Engine)

GAE の状況例としてGAE/Go(SE) でホストしている docs.djangoproject.jp で確認 https://www.ssllabs.com/ssltest/analyze.html? d=docs.djangoproject.jp&hideResults=on&latest

ということでGAE では... サクッとPCI DSS 準拠(※) サービスを提供開始できない（Web インターフェイスがないシステムは提供できるかもしれません）。 ※

サクッと適切な暗号化ができる GAE 待ってます...

対応策

コンテナ疲れ脱コンテナ→GAE 検討→PCI DSS 対応→ コンテナ→ コンテナ疲れ...

ちょっと離れてみよう

ちょっと離れてみよう次回GCP/GAE 使うときはこのあたりが改善されているといいな。

PCI DSS 対応経験のある方 (GCP or GAE で) ぜひお話させていただけると嬉しいです。

それではまたいつの日か

参考情報 PCI DSS v3.2 の公開と変更点一覧 http://www.intellilink.co.jp/article/pcidss/21.html https://cloud.google.com/security/compliance/pci- dss/ https://cloud.google.com/solutions/pci-dss