在当前数字化环境下，越来越多企业把数据放到云端。其中不仅涉及到业务数据，还有不少敏感的支付信息。

好消息是，Tableau Cloud 现已通过支付卡行业数据安全标准（PCI-DSS）4.0 认证，可帮助企业更安全地处理持卡人数据，提升客户信任。

这意味着金融服务等行业机构，既能够在 Tableau Cloud 上更高效地利用数据，还能在原有安全和合规基础上，进一步加强数据保护能力。

什么是 PCI-DSS？

支付卡行业数据安全标准（PCI-DSS）是一套全球公认的安全规范，目标是确保所有接受、处理、存储或传输支付卡信息的企业或服务提供商都能维护安全的操作环境：

• 防止支付卡信息被盗用或泄露

• 降低信用卡欺诈的风险

• 提升消费者和合作伙伴对企业数据安全的信任

对于需要处理客户支付或金融数据的企业来说，PCI-DSS 合规对于保障持卡人数据和客户信任至关重要。

在 PCI-DSS 的体系中，Tableau Cloud 扮演的是“服务提供商”角色，也就是为其他企业的支付流程提供支持。当客户知晓 Tableau Cloud 的数据环境符合这些严格标准时，企业便能更安心地开展业务。

Tableau 如何提供顶级安全保障？

目前，Tableau Cloud 是 PCI-DSS 规定的一级服务提供商，这属于最高级别的合规标准，涵盖了 PCI-DSS 的全部 12 项技术和管理要求。

为达到这些要求，Tableau Cloud 需通过严格的测试和验证，包括：

• 每年由合格安全评估员（QSA）现场审核，并出具合规性报告（ROC）

• 每季度由批准的扫描服务商（ASV）进行网络安全扫描，及时发现和修复漏洞

• 由高级管理人员签署的合规证明（AOC），确认符合所有标准

除此之外，Tableau Cloud 基于亚马逊云的基础设施即服务（IaaS）平台和 Salesforce Hyperforce 运行，这两大平台本身也都达到了 PCI-DSS 一级标准。也就是说，基础设施层的物理和数据中心安全由亚马逊云负责，平台本身的合规基础更加扎实。

共享责任模式下的安全分工

Tableau Cloud 的 PCI-DSS 合规建立在“共享责任模式”基础原则之上。

作为云服务提供商，Tableau Cloud 负责底层架构与平台安全，比如网络防火墙、静态/传输过程的数据加密、漏洞管理、补丁维护更新及系统活动日志记录等。

相应地，企业需通过以下方式自行确保应用层的安全：配置安全访问权限、加密与 Tableau Cloud 的传输数据、用户活动监控、确保自定义集成安全性等。

图示：此维恩图显示了“PCI DSS 共享责任模式，共同保障合规”

只有当企业履行自身那部分责任时，整个环境才能完全实现 PCI-DSS 合规。为此，Tableau Cloud 还提供了多种工具，以帮助你满足合规要求，比如：

👉 客户自主管理加密密钥（CMEK）：企业可用自己的密钥为站点数据加密。

👉 Tableau Bridge：可通过 HTTPS 和 WebSockets，安全将 Tableau Cloud 连接到本地或私有云数据，实现加密通信。

👉 活动日志：详细的操作日志可发送到企业的亚马逊云 S3 存储，方便合规分析和审计。

👉 多样的访问控制机制，包括：

• 多因素认证（MFA）强化身份核验

• 单点登录（SSO）统一认证流程

• SCIM 自动化用户配置管理

• 基于最小权限原则的精细化角色控制

• 数据访问和行级安全（RLS）实现数据可见性管控

图示：企业、Tableau、亚马逊云在安全层面的责任分工图

共享责任下的关键注意事项

需要注意的是，Tableau Cloud 的 PCI-DSS 合规也有前提与限制。企业在实际部署 Tableau Cloud 时，需要满足以下条件，才能被纳入平台的 PCI-DSS 合规范围：

• 必须使用 CMEK 加密数据提取文件内容。

• 仅支持数据提取或实时连接形式：只有数据提取和实时连接的数据符合 PCI-DSS 合规，像 Excel 或 CSV 这种不能用 CMEK 加密的嵌入式数据源不在合规范围内。

• 必须通过企业自有的身份提供商（IdP）来实现单点登录（SSO）。

理解这些具体要求，有助于企业在履行自身合规义务的同时，有效利用 Tableau Cloud 的 PCI-DSS 合规环境。

数据安全领域的可靠伙伴

从设计到运维，Tableau Cloud 始终高度重视安全性，包括基础设施安全、加密和日志管理等，为用户核心数据打造了一道坚固防线。

👉 如果想要体验这种安全和合规环境，可免费试用 Tableau Cloud。

👉 如果你希望迁移至 Tableau Cloud，或有更大的部署需求，请联系我们咨询~