我想在Windows Azure上托管一个应用程序,该应用程序存储按月付费购买订阅的用户的信用卡信息。我只需要尽可能安全地存储卡数据(加密,加密,经常更新数据库密码,使用HTTPS等)
我认为我需要符合PCI标准才能存储此类信息。我的问题是Azure能让我实现这个目标吗?我有什么选择? Azure上的应用程序可以处理信用卡付款吗?
答案 0 :(得分:11)
Windows Azure目前不符合PCI标准。 (可能是将来但不是现在 - 路线图)
修改 Azure现在符合Level-1标准:windowsazure.com/en-us/support/trust-center/compliance
Windows Azure有一个信任中心页面,其中解释了有关其安全性和合规性的所有信息(我建议您在此处阅读有关Azure具有和未具备的内容的更多信息)https://www.windowsazure.com/en-us/support/trust-center/
您可以选择构建Azure应用程序,但让第三方(符合PCI)处理实际的信用卡处理,从而降低Azure上非PCI投诉应用程序的风险。
答案 1 :(得分:10)
截至目前,Azure符合PCI DSS 1级标准。
https://www.windowsazure.com/en-us/support/trust-center/compliance/
我对PCI合规性的理解意味着您现在可以在Azure上构建应用程序,并且应该能够获得PCI认证。只是构建应用程序并在Azure中托管它并不能保证合规性。
答案 2 :(得分:4)
现在它符合要求。您可以访问the Windows Asure compliance page了解详细信息,还可以下载Windows Azure客户PCI指南。
答案 3 :(得分:0)
它符合广义。尝试使用webapps和相互通信但不使用公共IP空间的数据库构建应用程序。以下是PCI-DSS中的一些问题。
1.2构建限制不受信任网络与持卡人数据环境中任何系统组件之间连接的防火墙和路由器配置
1.2.1将入站和出站流量限制为持卡人数据环境所必需的流量,特别是拒绝所有其他流量。
1.3.3对于Internet和持卡人数据环境之间的流量,不允许任何直接连接入站或出站。
1.3.5应评估从持卡人数据环境出站的所有流量,以确保其遵循既定的授权规则。应检查连接以限制仅授权通信的流量(例如,通过限制源/目标地址/端口和/或阻止内容)。
答案 4 :(得分:0)
Windows Azure PCI合规性证明(AoC)未列出客户实际可以购买和购买的任何服务。 AoC认证以下服务:
Azure核心服务,Azure平台服务,Azure目录服务,数据处理,基础架构,运营。
......但这些服务(至少通过名字,无论如何)都不能“买”。
我已经整理了以下博客文章,为什么像我这样拥有多年PCI DSS审核经验的QSA在Azure方面存在问题:
https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/
蒂姆霍尔曼,QSA,2秒......