兼容吗？

Question

这是谷歌云平台:客户责任矩阵。本文档基本上贯穿了所有的PCI需求，并解释了GCP所做的事情和客户应该做的事情。

这文档声明Google在PCI的范围内。

这 GCP链接声明：“要求3.4规定PAN必须在存储的任何地方不可读。虽然在静止时自动提供加密，但它不会自动执行规则所要求的单向散列、截断或令牌化。”

然而，我无法找到明确表示Google存储符合PCI的证据，因为它是来自云提供商的服务。

是否有官方文档声称作为一种服务兼容PCI？

一份关于GCP如何在google云存储中实现PCI遵从性的文档，而不是如何满足客户设置的需求？

Answer 1

看来你在这里问了两个问题：

(1) 是Google平台(GCP)支付卡行业数据安全标准(PCI )认证的？

(2) 是否兼容Google？？

以下是我们的公开文件中的答案：

1) GCP是PCI DSS认证的，因为公告和我们的官方医生清楚地说明：

"Google Cloud每年进行一次第三方审核，以验证单个产品是否符合PCI DSS的要求。这意味着这些服务提供了一种基础设施，客户可以构建自己的服务或应用程序来存储、处理或传输持卡人数据。“

如您所知，PCI是由信用卡公司编写的用于处理来自消费者的信用卡信息安全性的标准。正如我们的文档所揭示的，这是云提供商( GCP )和消费者/客户(您)之间的共同责任，后者需要被认证为平台，消费者/客户(you)负责在GCP上实现/构建兼容的服务。

2) 云存储是符合PCI DSS的，如您在正式声明中所看到的那样

“--以下谷歌云服务已由独立的合格安全评估人员审查，并被确定为符合PCIDS3.2标准的。这意味着这些服务提供了一个基础设施，客户可以在此基础上构建自己的服务或应用程序来存储、处理或传输持卡人数据。我们创建了这个矩阵，以帮助解释谷歌与其客户之间的共同责任。”

Per“是否有官方文档声称作为一种服务符合PCI？请参考这份文件和本参考，这表明GCS是符合PCI要求的服务。但是，当然，当您构建一个使用GCS的解决方案时，您需要以符合PCI的方式这样做。

请注意，您所引用的谷歌云平台:客户责任矩阵中也有相同的共享责任声明。我们建议客户在追求PCI遵从性时引用责任矩阵，并在进行自己的PCI审核时发现它是一个有用的工具。

关于GCP如何实现符合PCI的google云存储要求的文档，而不是如何满足客户设置的要求？再一次提到这位医生，它说："Google每年都要进行第三方审核，以验证单个产品是否符合PCI DSS。“

我们还发布了您引用的关于在GCP上构建符合PCI的服务的咨询意见。下面是一个关于如何在GCP上构建符合PCI的服务的示例。这是一个使用我们的工具的客户基于GCS的服务如何满足PCI要求的示例。

希望这有助于澄清在我们的公共文档中关于PCI遵从性的声明。