Соответствует ли SQL Azure PCI-DSS?

Question

Соответствует ли SQL Azure PCI-DSS?

Если бы я использовал отдельный Windows Server, совместимый с PCI-DSS, был бы я по-прежнему совместимым, если бы у меня был SQL Azure, на котором размещался сервер? Это предполагает, что я совместим на уровне приложений, и что я храню только разрешенные значения (например, без CVV) и т. Д.

16

security azure-sql-database cloud pci-dss

Источник

user228353 01 авг '10 в 03:33

7 ответов

Решение

Microsoft пишет в Azure Faq:

При коммерческом запуске Windows Azure не будет иметь специальных аудитов или сертификатов безопасности. В ближайшее время вы можете ожидать, что мы пройдем сертификацию ключей, такую как ISO27001. Платформа Windows Azure и Windows Azure применяют строгие меры безопасности, включенные в процесс жизненного цикла разработки безопасности (SDL). SDL обеспечивает безопасность и конфиденциальность на ранних этапах и на протяжении всего процесса разработки. Платформа Windows Azure и Windows Azure также извлекают выгоду из возможностей безопасности, предоставляемых инфраструктурой Microsoft Global Foundation Services (GFS). Гарантии СГФ регулярно проверяются внешними аудиторами и включают комплексную программу безопасности, которая охватывает весь стек доставки.

Microsoft не претендует на стандарты PCI для стороннего хостинга. Существуют способы разработки облачных приложений для использования сторонних процессоров данных PCI, которые могут удерживать само облачное приложение вне зоны действия.

http://www.microsoft.com/windowsazure/faq/default.aspx

в раскрывающемся списке выберите "Соглашения о лицензировании и уровне обслуживания", а затем найдите последний абзац "Какие отраслевые сертификаты аудита и безопасности охватывают платформу Windows Azure? В частности, отзовитесь на SAS70, ISO 27001 и PCI?"

11

Источник

user7236 30 сен '10 в 10:44

Не уверен в статусе соответствия PCI-DSS в Azure, но отмечу, что Azure и EC2S3 - это не одно и то же животное. Azure - это полностью размещенная инфраструктура, которая предоставляет сервисы и конечные точки, чтобы предоставить разработчикам приложений возможность работать на полностью управляемой и отслеживаемой (включая типовые конструкции безопасности на месте для локального серверного продукта) платформе и распространять эти сервисы на резидентные приложения.,

Учитывая количество времени, которое Microsoft провела с людьми из PCI (начиная с Vista), я был бы очень удивлен, если бы приложение, совместимое с PCI-DSS, не поддерживало свой уровень сертификации при расширении до Windows Azure.

Надеюсь это поможет. Цель состояла не в том, чтобы разбить EC2S3, а в том, чтобы восполнить чепуху в Azure.

Мистер Хелпер:-)

3

Источник

user436554 01 сен '10 в 02:59

Просто обновление по этому вопросу.

В настоящее время Windows Azure действительно соответствует стандарту PCI DSS Level 1. Для получения дополнительной информации см. Следующую статью Windows Azure Trust Center: Windows Azure Trust Center - соответствие

3

Источник

user3033876 10 июл '14 в 13:32

При использовании PCI DSS важно помнить, что речь идет не только о сохранении, но и о "хранении, обработке или передаче". Если что-то из этого происходит в облаке или через него, то облако становится частью среды данных держателя карты, что обеспечивает соответствие PCI. Поскольку это облако, которое вы не контролируете, не было бы никакого способа проверить соответствие.

Нет проверки, нет соответствия. Сожалею.

2

Источник

user407769 01 авг '10 в 04:03

Amazon объявила о соответствии стандарту PCI DSS Level 1 7 декабря 2010 года. Мой ответ ниже теперь неверен.

~~См. http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/.~~ ~~Amazon утверждает, что вы не можете достичь соответствия стандартам PCI-DSS level 1 в их инфраструктуре.~~ ~~Важные линии -~~

Вы можете создать приложение, совместимое с PCI level 2, в нашем облаке AWS, используя EC2 и S3, но вы не можете достичь соответствия уровню 1. ~~Если у вас есть утечка данных, вы автоматически должны соответствовать уровню 1, что требует аудита на месте;~~ ~~это то, что мы не можем распространить на наших клиентов.~~

~~Я не читал документацию Azure, но уверен, что они не позволяют проводить аудит на месте.~~ ~~Учитывая это, те же выводы будут применимы и к Microsoft Azure.~~

1

Источник

user242940 02 авг '10 в 16:35

Похоже, что AWS и Rackspace достигли определенного уровня соответствия (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/), но Global Foundation Services (инфраструктура Microsoft Windows/SQL Azure, CDN и т. д.) этого не делает (http://www.globalfoundationservices.com/security/). Однако я не удивлюсь, увидев, что в ближайшем будущем GFS получит некоторую аккредитацию.

1

Источник

user3279 25 апр '11 в 18:03

Другие вопросы по тегам security azure-sql-database cloud pci-dss

user33315 20 апр '11 в 03:37 2011-04-20 03:37 · Accepted Answer · 2011-04-20 03:37

Теперь AWS соответствует стандарту PCI DSS 2.0 уровня 1, поэтому предположения о том, что уровень 1 недостижим для поставщика облачных услуг, неверны:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

Кроме того, Rackspace также достигла соответствия PCI Level 1:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

Это правда, что Microsoft еще не достигла соответствия PCI для Windows Azure.

Вполне вероятно, что они активно работают над устранением любых ограничений в Windows Azure, чтобы они также могли предоставлять эту услугу своим клиентам и оставаться конкурентоспособными, но на сегодняшний день они еще не достигли соответствия PCI.