Lưu trữ ứng dụng tương thích PCI trên Azure

Question

Tôi muốn lưu trữ một ứng dụng trên Windows Azure lưu trữ thông tin thẻ tín dụng của người dùng trả tiền để mua đăng ký với một khoản phí hàng tháng. Tôi chỉ cần lưu trữ dữ liệu thẻ càng an toàn càng tốt (mã hóa, muối, cập nhật mật khẩu cơ sở dữ liệu thường xuyên, sử dụng HTTPS, v.v.)

Tôi tin rằng mình cần tuân thủ PCI để có thể lưu trữ loại này của thông tin. Câu hỏi của tôi là Azure có thể cho phép tôi đạt được điều này? Những lựa chọn của tôi là gì? Ứng dụng Azure có thể xử lý thanh toán bằng thẻ tín dụng không?

Answer 1

Windows Azure hiện không tuân thủ PCI. (Nó có thể trong tương lai nhưng không phải bây giờ - lộ trình)

EDIT: Azure tại là Level-1 phù hợp: windowsazure.com/en-us/support/trust-center/compliance

của Windows Azure có một trang Trung tâm Tin cậy giải thích tất cả về bảo mật và tuân thủ của nó (Tôi khuyên bạn nên đọc thêm về nó về những gì Azure đã và chưa có) https://www.windowsazure.com/en-us/support/trust-center/

Bạn có tùy chọn nơi bạn có thể xây dựng ứng dụng Azure nhưng để cho bên (PCI tuân thủ) xử lý việc xử lý thẻ tín dụng thực tế cho bạn, do đó giảm thiểu rủi ro của bạn về một ứng dụng khiếu nại không phải PCI trên Azur e.

Answer 2

Tính đến hôm nay, Azure tuân thủ PCI DSS Cấp 1.

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

sự hiểu biết của tôi về Tuân PCI có nghĩa là bây giờ bạn được phép xây dựng các ứng dụng trên Azure và sẽ có thể nhận được chúng PCI chứng nhận là tốt. Chỉ cần xây dựng một ứng dụng và lưu trữ nó trong Azure không đảm bảo tuân thủ.

Answer 3

Hiện tại, nó tuân thủ. Bạn có thể truy cập the Windows Asure compliance page để biết chi tiết và cũng có thể tải xuống Hướng dẫn PCI cho khách hàng Windows Azure.

Answer 4

Điều này tuân thủ các điều khoản rộng. Thử xây dựng một ứng dụng bằng cách sử dụng các ứng dụng web và một DB giao tiếp với nhau và không sử dụng không gian IP công cộng. Dưới đây là một số vấn đề trong PCI-DSS.

1.2 Build tường lửa và router cấu hình để hạn chế các kết nối giữa các mạng không tin cậy và bất kỳ thành phần hệ thống trong môi trường dữ liệu chủ thẻ

1.2.1 Giới hạn lưu lượng inbound và outbound với đó là cần thiết cho môi trường dữ liệu chủ thẻ, và đặc biệt từ chối tất cả lưu lượng truy cập khác.

1.3.3 Không cho phép bất kỳ kết nối trực tiếp vào hoặc ra đối với lưu lượng truy cập giữa Internet và môi trường dữ liệu của chủ thẻ.

1.3.5 Tất cả lưu lượng truy cập đi từ môi trường dữ liệu của chủ thẻ phải được đánh giá để đảm bảo rằng nó tuân theo các quy tắc được thiết lập, được ủy quyền. Các kết nối cần được kiểm tra để hạn chế lưu lượng truy cập chỉ cho các giao tiếp được ủy quyền (ví dụ bằng cách hạn chế địa chỉ/cổng nguồn/đích và/hoặc chặn nội dung).

Answer 5

Xác thực tuân thủ PCI của Windows Azure (AoC) không liệt kê bất kỳ dịch vụ nào mà khách hàng thực sự có thể ra ngoài và mua.AoC chứng nhận các dịch vụ sau:

Dịch vụ chính của Azure, Dịch vụ nền tảng Azure, Dịch vụ thư mục Azure, Xử lý dữ liệu, Cơ sở hạ tầng, Hoạt động.

... nhưng các dịch vụ này (ít nhất bằng tên, dù sao), không thể "mua" được.

tôi đã tổng hợp các bài viết blog sau đây, là tại sao một QSA như bản thân mình với nhiều năm kinh nghiệm kiểm toán PCI DSS, có một vấn đề với Azure:

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

Tim Holman, QSA, 2 giây ...