Azure'da bir PCI uyumlu uygulaması barındırma

Question

Windows Azure'da, aylık ücret karşılığında abonelik satın almak için ödeme yapan kullanıcıların kredi kartı bilgilerini depolayan bir uygulamayı barındırmak istiyorum. Kart verilerini olabildiğince güvenli bir şekilde saklamak zorunda kaldım (şifrelemek, tuzlamak, veritabanı şifresini sık sık güncellemek, HTTPS kullanmak ve benzeri)

Bu tür depoları saklayabilmek için PCI uyumlu olmam gerektiğine inanıyorum bilginin. Sorum şu: Azure bunu başarmamı sağlayabilir mi? Seçeneklerim nelerdir? Azure süreci kredi kartı ödemelerinde bir uygulama yapabilir mi?

Answer 1

Windows Azure şu anda PCI uyumlu değil. Azure şimdi Seviye-1 uyumlu:

windowsazure.com/en-us/support/trust-center/compliance, Windows

DÜZENLEME - (yol haritası değil artık gelecekte olabilir ama) Azure, güvenlik ve uyumluluk hakkında tüm bilgileri açıklayan bir Güven Merkezi sayfasına sahiptir (Azure'un sahip olduğu ve yapmadığı hakkında daha fazla bilgi edinmenizi öneririm) https://www.windowsazure.com/en-us/support/trust-center/

Azure Uygulamalarını oluşturabileceğiniz ancak 3. Parti (PCI uyumlu) sizin için gerçek kredi kartı işlemesini gerçekleştirir, böylece Azur'da PCI olmayan bir şikayet başvurusu riskinizi azaltır. e.

Answer 2

Bugün itibariyle Azure PCI DSS Düzey 1 uyumludur.

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

PCI Compliance Benim anlayış artık Azure üzerinde uygulamalar oluşturmak için izin verilir ve onlara de sertifikalı PCI almak gerekir anlamına gelir. Sadece bir uygulama oluşturmak ve Azure'da barındırmak uygunluğu garanti etmez.

Answer 3

Artık uyumludur. Ayrıntılar için the Windows Asure compliance page adresini ziyaret edebilir ve ayrıca Windows Azure Müşteri PCI Kılavuzu'nu indirebilirsiniz.

Answer 4

Geniş anlamda uyumludur. Webapps ve birbiriyle iletişim kuran ve genel IP alanını kullanmayan bir DB kullanarak bir uygulama oluşturmayı deneyin. PCI-DSS'deki bazı sorunlar. Güvenilir olmayan ağlar ve kart sahibi veri ortamı

1.2.1 Kart veri ortamı için gerekli olduğu için, gelen ve giden trafiği kısıtlamak ve özellikle herhangi bir sistem bileşenleri arasındaki bağlantıları kısıtlamak

1.2 Yapı duvarı ve yönlendirici konfigürasyonları diğer tüm trafiği reddet.

1.3.3 İnternet ve kart sahibi veri ortamı arasındaki trafik için gelen veya giden doğrudan bağlantılara izin vermeyin.

1.3.5 Kart sahibi veri ortamından giden tüm trafiğin, kurulmuş, belirlenmiş kurallara uyup uymadığından emin olmak için değerlendirilmesi gerekir. Trafiği yalnızca yetkili iletişimlerle sınırlamak için bağlantılar denetlenmelidir (örneğin, kaynak/hedef adresleri/bağlantı noktalarını kısıtlayarak ve/veya içeriğin engellenmesini engelleyerek).

Answer 5

Windows Azure PCI Uyumluluk Beyanı (AoC), müşterilerin gerçekten dışarı çıkıp satın alabilecekleri hizmetleri listelemez.

Azure Çekirdek Hizmetleri Azure Platform Hizmetleri Azure Dizin Hizmetleri, Bilgi İşlem, Altyapı, Operasyon: uygunluk teyit şu hizmetleri onaylar.

... ama bu hizmetler (en azından ismen, neyse), "satın" alınamaz. ,

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

Tim Holman, QSA:

ben birkaç yıl PCI DSS denetim tecrübesi ile gibi bir QSA ben, Azure ile bir sorunu var neden birlikte aşağıdaki blog makalede topladık 2-sn ...