Hosting aplikacji zgodnej ze standardem PCI na platformie Azure

Question

Chcę hostować aplikację na platformie Windows Azure, w której przechowywane są informacje o kartach kredytowych użytkowników, którzy płacą za zakup subskrypcji za miesięczną opłatę. Po prostu musiałbym przechowywać dane karty tak bezpiecznie, jak to tylko możliwe (szyfrowanie, sól, aktualizacja hasła do bazy danych często, korzystanie z HTTPS itd.)

Uważam, że muszę być zgodny z PCI, aby móc przechowywać tego typu informacji. Mam pytanie, czy platforma Azure pozwoli mi to osiągnąć? Jakie są moje opcje? Czy aplikacja na platformie Azure może przetwarzać płatności kartą kredytową?

Answer 1

System Windows Azure nie jest obecnie zgodny ze standardem PCI. (Może to być w przyszłości, ale nie teraz - mapa drogowa)

EDIT: Azure jest teraz Level-1 zgodny: windowsazure.com/en-us/support/trust-center/compliance

Okna Azure ma stronę Centrum zaufania, która wyjaśnia wszystkie kwestie związane z bezpieczeństwem i zgodnością (sugerujemy, aby przeczytać więcej na ten temat o tym, co ma Azure i czego nie ma). https://www.windowsazure.com/en-us/support/trust-center/

Masz opcje, w których możesz tworzyć aplikacje Azure, ale pozwól 3. strona (zgodna z PCI) obsługuje rzeczywiste przetwarzanie kart kredytowych, zmniejszając w ten sposób ryzyko związane z wnioskiem o wniesienie skargi spoza prawa wspólnotowego na Azur mi.

Answer 2

Na dzień dzisiejszy platforma Azure jest zgodna z PCI DSS Level 1.

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

Moje rozumienie PCI Zgodność oznacza, że ​​mogą teraz tworzyć aplikacje na Azure i powinny być w stanie dostać się do nich, jak również certyfikowany PCI. Samo zbudowanie aplikacji i hostowanie jej na platformie Azure nie gwarantuje zgodności.

Answer 3

Teraz jest zgodny. Szczegółowe informacje można uzyskać pod adresem the Windows Asure compliance page, a także pobrać Przewodnik po PCI klienta Windows Azure.

Answer 4

Jest zgodny w szerokim zakresie. Spróbuj zbudować aplikację, używając aplikacji webapp i bazy danych, które komunikują się ze sobą i nie korzystają z publicznej przestrzeni IP. Oto niektóre problemy w PCI-DSS.

1,2 budowanie zapór i routerów, które ograniczają konfiguracje połączeń między sieciami niezaufanych oraz wszelkich elementów systemu w środowisku danych posiadaczy kart

1.2.1 Ograniczanie ruchu przychodzącego i wychodzącego do tego, co konieczne dla środowiska danych posiadaczy kart, a konkretnie odrzucić cały inny ruch.

1.3.3 Nie zezwalaj na bezpośrednie połączenia przychodzące i wychodzące w celu ruchu między Internetem a środowiskiem danych posiadacza karty

1.3.5 Cały ruch wychodzący ze środowiska danych posiadacza karty powinien być oceniany, aby zapewnić, że jest zgodny z ustalonymi, autoryzowanymi regułami. Połączenia powinny być sprawdzane w celu ograniczenia ruchu tylko do autoryzowanych połączeń (na przykład poprzez ograniczenie adresów/portów źródłowych/docelowych i/lub blokowanie treści).

Answer 5

Certyfikat zgodności Azure PCI dla Windows Azure nie zawiera żadnych usług, które klienci mogą faktycznie kupić i kupić.Certyfikat AoC potwierdza następujące usługi:

Usługi Azure Core, usługi platformy Azure, usługi katalogowe Azure, przetwarzanie danych, infrastruktura, operacje.

... ale te usługi (przynajmniej z imienia i tak) nie mogą być "kupione".

I już ułożyła następujący wpis na blogu, jak do dlaczego QSA takich jak ja z kilkuletnim doświadczeniem PCI DSS audytorskiej, ma problem z Azure:

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

Tim Holman, QSA, 2-sek ...