Соответствует ли SQL Azure PCI-DSS? - PullRequest
Новая
       29

Соответствует ли SQL Azure PCI-DSS?

16 голосов
/ 01 августа 2010

Если бы я использовал отдельный Windows Server, совместимый с PCI-DSS, был бы я по-прежнему совместимым, если бы у меня был SQL Azure, на котором размещался бэкэнд? Это предполагает, что я совместим на прикладном уровне, и что я храню только разрешенные значения (например, без CVV) и т. Д.

Ответы [ 7 ]

14 голосов
/ 20 апреля 2011

AWS теперь совместим с PCI DSS 2.0 уровня 1, поэтому предположения о том, что уровень 1 недостижим для поставщика облачных услуг, неверны:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

Кроме того, Rackspace имееттакже достигнуто соответствие PCI Level 1:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

Это правда, что Microsoft еще не достигла соответствия PCI для Windows Azure.

Вероятно, они активно работают над устранением любых ограничений в Windows Azure, чтобы они также могли предоставлять эту услугу своим клиентам и оставаться конкурентоспособными, но на сегодняшний день они еще не достигли соответствия PCI.

11 голосов
/ 30 сентября 2010

Microsoft пишет в Azure Faq:

При коммерческом запуске Windows Azure не будет иметь специальных сертификатов аудита или безопасности. В ближайшее время вы можете ожидать, что мы пройдем сертификацию ключей, такую ​​как ISO27001. Платформа Windows Azure и Windows Azure применяют строгие меры безопасности, включенные в процесс жизненного цикла разработки безопасности (SDL). SDL обеспечивает безопасность и конфиденциальность на ранних этапах и на протяжении всего процесса разработки. Платформа Windows Azure и Windows Azure также извлекают выгоду из возможностей обеспечения безопасности, предоставляемых инфраструктурой Microsoft Global Foundation Services (GFS). Гарантии СГФ регулярно проверяются внешними аудиторами и включают комплексную программу безопасности, охватывающую весь стек доставки.

Microsoft не претендует на стандарты PCI для стороннего хостинга. Существуют способы разработки облачных приложений для использования сторонних процессоров данных PCI, которые могут удерживать облачное приложение вне области применения.

http://www.microsoft.com/windowsazure/faq/default.aspx

выберите «Лицензионные соглашения и соглашения об уровне обслуживания» в раскрывающемся списке. затем найдите последний абзац «Какие отраслевые аудиторские проверки и сертификаты безопасности охватывают платформу Windows Azure? В частности, обратитесь к SAS70, ISO 27001 и PCI?»

3 голосов
/ 10 июля 2014

Просто обновление по этому вопросу.

В его нынешнем виде Windows Azure действительно соответствует стандарту PCI DSS Level 1 .Для получения дополнительной информации см. Следующую статью Windows Azure Trust Center: Windows Azure Trust Center - соответствие

3 голосов
/ 01 сентября 2010

Не уверен в статусе соответствия PCI-DSS в Azure, но отмечу, что Azure и EC2S3 - это не одно и то же животное.Azure - это полностью размещенная инфраструктура, которая предоставляет сервисы и конечные точки, чтобы предоставить разработчикам приложений возможность работать на полностью управляемой и отслеживаемой (включая типичные конструкции безопасности на месте для локального серверного продукта) платформе и распространять эти службы на резидентные приложения.

Учитывая количество времени, которое Microsoft провела с людьми из PCI (начиная с Vista), я был бы очень удивлен, если бы приложение, совместимое с PCI-DSS, не поддерживало свой уровень сертификации при расширении до WindowsЛазурный.

Надеюсь, это поможет.Цель состояла не в том, чтобы разбить EC2S3, а в том, чтобы восполнить чепуху на Azure.

Мистер.Помощник: -)

2 голосов
/ 01 августа 2010

При использовании PCI DSS важно помнить, что речь идет не только о сохранении, но и о «хранении, обработке или передаче».Если что-то из этого происходит в облаке или через него, то облако становится частью среды данных держателя карты, что обеспечивает соответствие PCI.Поскольку это облако, которое вы не контролируете, не было бы никакого способа проверить соответствие.

Нет проверки, нет соответствия.К сожалению.

1 голос
/ 25 апреля 2011

Похоже, что AWS и Rackspace достигли некоторого уровня соответствия (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/),, но Global Foundation Services (инфраструктура Microsoft Windows / SQL Azure, CDN и т. Д.) Не достигла (http://www.globalfoundationservices.com/security/). I)однако не удивлюсь, если в ближайшем будущем GFS получит некоторую аккредитацию.

1 голос
/ 02 августа 2010

Amazon объявила о соответствии PCI DSS Level 1 07 декабря 2010 года .Мой ответ ниже теперь неверен.

См. http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/. Amazon говорит, что вы не можете достичь соответствия PCI-DSS level 1 в их инфраструктуре.Важные строки -

Вы можете создать приложение, совместимое с PCI уровня 2, в нашем облаке AWS, используя EC2 и S3, но вы не можете достичь соответствия уровню 1.Если у вас есть утечка данных, вы автоматически должны соответствовать уровню 1, что требует аудита на месте;это то, что мы не можем распространить на наших клиентов.

Я не читал документацию Azure, но уверен, что они не разрешают проводить аудит на месте.Учитывая это, те же выводы будут применимы и к Microsoft Azure.

...