Если бы я использовал отдельный Windows Server, который был совместим с PCI-DSS, я бы по-прежнему был совместимым, если бы у меня был SQL Azure, поддерживающий бэкэнд? Это предполагает, что я совместим с уровнем приложения и что я только сохраняю допустимые значения (например, нет CVV) и т.д.
Соответствует ли SQL Azure PCI-DSS?
Ответ 1
AWS теперь совместим с PCI DSS 2.0 Level 1, поэтому предположения, что уровень 1 недоступен для поставщика облачных вычислений, неверны:
http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/
Кроме того, Rackspace также добилась соответствия PCI Level 1:
Верно, что Microsoft еще не достигла соответствия PCI для Windows Azure.
Вероятно, они активно работают над устранением любых ограничений в Windows Azure, чтобы они могли также предоставлять эту услугу своим клиентам и оставаться конкурентоспособными, но на сегодняшний день они еще не достигли соответствия PCI.
Ответ 2
Microsoft пишет в Azure Faq:
При коммерческом запуске Windows Azure не будет иметь специальных сертификатов аудита или безопасности. В ближайшем будущем вы можете ожидать, что мы будем проводить ключевые сертификаты, такие как ISO27001. Платформа Windows Azure и Windows Azure применяют строгие методы обеспечения безопасности, включенные в процесс жизненного цикла безопасности (SDL). SDL представляет безопасность и конфиденциальность на ранней стадии и на протяжении всего процесса разработки. Платформа Windows Azure и Windows Azure также пользуются возможностями безопасности, предоставляемыми инфраструктурой Microsoft Global Foundation Services (GFS). Заверения GFS регулярно проверяются внешними аудиторами и включают комплексную программу обеспечения безопасности, которая охватывает весь стек доставки.
Microsoft не претендует на требования стандартов PCI для стороннего хостинга. Существуют способы разработки приложений на основе облачных вычислений для использования сторонних разработчиков данных PCI, которые могут оставить само облачное приложение вне области видимости.
http://www.microsoft.com/windowsazure/faq/default.aspx
выберите "Соглашения о лицензировании и уровне обслуживания" в раскрывающемся списке затем найдите последний абзац "Какие отраслевые сертификаты аудита и безопасности охватывают платформу Windows Azure? В частности, вызывать позицию на SAS70, ISO 27001 и PCI?"
Ответ 3
Не уверен в статусе соблюдения PCI-DSS в Azure, но я отмечу, что Azure и EC2S3 не являются одними и теми же животными. Azure - это полностью размещенная инфраструктура, предоставляющая услуги и конечные точки, чтобы предлагать разработчикам приложений возможность полностью управлять и контролировать (включая типичные конструкции безопасности на платформе локального сервера) и распространять эти службы на резидентные приложения.
Учитывая количество времени, которое Microsoft потратила на пользователей PCI (от Vista), я был бы очень удивлен, если приложение, совместимое с PCI-DSS, не поддерживало бы уровень сертификации при расширении до Windows Azure.
Надеюсь, это поможет. Цель состояла не в bash EC2S3, это было больше для заполнения бляшек на Azure.
г. Помощник: -)
Ответ 4
Просто обновите этот вопрос.
Как и в настоящее время, Windows Azure действительно совместим с PCI DSS Level 1. Дополнительную информацию см. В следующей статье Центра безопасности Windows Azure: Центр безопасности Windows Azure - соответствие требованиям
Ответ 5
С PCI DSS важно помнить, что речь идет не только о хранении, но и "хранении, обработке или передаче". Если какое-либо из этого происходит в облаке или через него, облако становится частью среды данных ваших держателей карт, таким образом, в области соответствия PCI. Поскольку это облако, которое вы не контролируете, не было бы способа проверить соответствие.
Нет проверки, нет соответствия. К сожалению.
Ответ 6
Amazon объявила соответствие PCI DSS Level 1 от 07 декабря 2010 г.. Ниже мой ответ неверен.
См. http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/. Amazon заявляет, что вы не можете достичь соответствия уровня PCI-DSS 1 на своей инфраструктуре. Важные строки -
Вы можете построить PCI совместимое с уровнем 2 приложение в облаке AWS используя EC2 и S3, но вы не можете достичь уровня 1. если ты имеют нарушение данных, вы автоматически должны стать совместимыми с уровнем 1, которые требует проведения аудита на месте; то есть то, что мы не можем распространить на наши клиентов.
Я не читал документацию Azure, но я уверен, что они не разрешают аудит на месте. Учитывая, что те же выводы будут применены и к Microsoft Azure. Забастовкa >
Ответ 7
Похоже, что AWS и Rackspace достигли некоторого уровня соответствия (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/), но Global Foundation Services (инфраструктура Microsoft Windows/SQL Azure, CDN и т.д.) не имеет доступа (http://www.globalfoundationservices.com/security/). Я бы не удивился, увидев, что GFS добивается некоторой аккредитации в ближайшем будущем.