Hosting di un'applicazione PCI conforme su Azure

Question

Desidero ospitare un'applicazione su Windows Azure che memorizzi i dati della carta di credito degli utenti che pagano per acquistare gli abbonamenti a un costo mensile. Devo solo memorizzare i dati della carta nel modo più sicuro possibile (crittografare, aggiornare, aggiornare la password del database spesso, utilizzare HTTPS e così via)

Credo di dover essere compatibile con PCI per poter archiviare questo tipo di informazione. La mia domanda è: Azure può permettermi di ottenere questo? Quali sono le mie opzioni? Può un'applicazione sui pagamenti con carta di credito di processo di Azure?

Answer 1

Windows Azure non è attualmente conforme PCI. (Potrebbe essere in futuro, ma non ora - tabella di marcia)

EDIT: Azure ora è al livello 1 conforme: windowsazure.com/en-us/support/trust-center/compliance

di Windows Azure ha una pagina del Centro di fiducia che spiega tutto sulla sicurezza e sulla conformità (suggerisco di leggere di più su ciò che Azure ha e non ha) https://www.windowsazure.com/en-us/support/trust-center/

Si hanno opzioni in cui è possibile creare applicazioni di Azure, ma lasciare un terzo parte (PCI conforme) gestisce l'elaborazione della carta di credito effettiva per te, riducendo così il rischio di un'applicazione di reclamo non PCI su Azur e.

Answer 2

A oggi Azure è conforme a PCI DSS livello 1.

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

mia comprensione di conformità PCI significa che si sono ora autorizzati a costruire applicazioni su Azure e dovrebbe essere in grado di farli PCI certificata pure. La semplice creazione di un'app e l'hosting in Azure non garantisce la conformità.

Answer 3

Ora è conforme. È possibile visitare the Windows Asure compliance page per i dettagli e scaricare anche la Guida PCI per i clienti Windows Azure.

Answer 4

È conforme in termini generali. Prova a creare un'app utilizzando le app web e un DB che comunicano tra loro e non utilizzano lo spazio IP pubblico. Ecco alcuni problemi in PCI-DSS.

firewall e router configurazioni 1.2 build che limitano le connessioni tra le reti non attendibili e qualsiasi componente di sistema per l'ambiente dati del titolare

1.2.1 Limitare il traffico in entrata e in uscita a quello indispensabile per l'ambiente dati del titolare, e in particolare nega tutto il resto del traffico.

1.3.3 Non consentire alcuna connessione diretta in entrata o in uscita per il traffico tra Internet e l'ambiente di dati del titolare della carta.

1.3.5 Tutto il traffico in uscita dall'ambiente dei dati dei titolari di carta deve essere valutato per garantire che segua le regole autorizzate stabilite. Le connessioni devono essere ispezionate per limitare il traffico solo alle comunicazioni autorizzate (ad esempio limitando gli indirizzi/le porte di origine/destinazione e/o il blocco dei contenuti).

Answer 5

L'Attestazione di conformità di Windows Azure PCI (AoC) non elenca i servizi che i clienti possono effettivamente acquistare e acquistare.L'AoC certifica i seguenti servizi:

Servizi di base di Azure, Servizi di piattaforma di Azure, Servizi di directory di Azure, Elaborazione dati, Infrastruttura, Operazioni.

... ma questi servizi (almeno per nome, comunque), non possono essere "comprati".

ho messo insieme il seguente articolo del blog, il motivo per cui un QSA come me con diversi anni di esperienza di revisione PCI DSS, ha un problema con Azure:

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

Tim Holman, QSA, 2-sec ...