SQL Azure是否符合PCI-DSS标准?

时间:2010-08-01 03:33:04

标签: security cloud azure-sql-database pci-dss

如果我要使用符合PCI-DSS标准的单独Windows服务器,如果我有一个托管后端的SQL Azure,我是否仍然符合要求?这假设我在应用层是合规的,并且我只存储允许的值(如没有CVV)等。

7 个答案:

答案 0 :(得分:14)

AWS现在符合PCI DSS 2.0 Level 1标准,因此云供应商无法实现Level 1的假设是不正确的:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

此外,Rackspace还实现了PCI Level 1合规性:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

Microsoft确实尚未实现Windows Azure的PCI合规性。

他们可能正积极致力于解决Windows Azure中的任何限制,以便他们也能够为其客户提供此服务并保持竞争力,但截至目前,他们尚未达到PCI合规性。

答案 1 :(得分:11)

Microsoft在Azure Faq中写道:

在商业发布时,Windows Azure将不具备特定的审核或安全认证。您可以期待我们在不久的将来寻求关键认证,例如ISO27001。 Windows Azure平台和Windows Azure应用了安全开发生命周期(SDL)过程中包含的严格安全实践。 SDL在整个开发过程中尽早引入安全性和隐私。 Windows Azure平台和Windows Azure也受益于Microsoft全球基础服务(GFS)基础架构提供的安全功能。 GFS保证由外部审计师定期验证,并包括涵盖整个交付堆栈的全面安全计划。

Microsoft对第三方托管的PCI标准没有任何要求。有一些方法可以开发基于云的应用程序,以使用可能使云应用程序本身超出范围的第三方PCI数据处理器。

http://www.microsoft.com/windowsazure/faq/default.aspx

在下拉菜单中选择“许可和服务水平协议” 然后找到最后一段“什么行业审计和安全认证涵盖Windows Azure平台?具体来说,在SAS70,ISO 27001和PCI上调出职位?”

答案 2 :(得分:3)

不确定Azure中的PCI-DSS合规性状态,但我会注意到Azure和EC2S3不是同一种动物。 Azure是一个完全托管的基础架构,它公开服务和端点,使应用程序编写者能够坐在完全托管和监控(包括适用于内部部署服务器产品的典型安全构造)平台上,并将这些服务扩展到驻留应用程序

考虑到微软与PCI人员(从Vista开始)花费的时间,如果符合PCI-DSS的应用程序在扩展到Windows Azure时没有保持其认证级别,我会非常惊讶。

希望这会有所帮助。目的不是为了抨击EC2S3,更多的是填写Azure上的blamks。

先生。助手: - )

答案 3 :(得分:3)

关于这个问题的最新消息。

目前, Windows Azure确实符合PCI DSS 1级。有关更多信息,请参阅以下Windows Azure信任中心文章: Windows Azure Trust Center - Compliance

答案 4 :(得分:2)

对于PCI DSS,重要的是要记住它不仅仅是存储,而是“存储,处理或传输”。如果在云中或通过云发生任何此类情况,则云将成为持卡人数据环境的一部分,从而符合PCI合规性。由于它是您无法控制的云,因此无法验证合规性。

没有验证,没有合规性。遗憾。

答案 5 :(得分:1)

亚马逊宣布PCI DSS Level 1 compliance on Dec 07, 2010。我的答案现在不正确。

<击> 见http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/。亚马逊表示,您无法在其基础架构上实现PCI-DSS 1级合规性。重要的是 -

  

您可以构建PCI   我们的AWS云中符合2级标准的应用   使用EC2和S3,但你不能   达到1级合规。如果你   有自己的数据泄露   需要成为1级兼容的   需要现场审核;那是   我们无法扩展到我们的东西   客户。

我还没有阅读Azure的文档,但我很确定他们不允许进行现场审核。鉴于此,同样的结论也适用于Microsoft Azure。

答案 6 :(得分:1)

看起来AWS和Rackspace都达到了一定程度的合规性(http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/),但全球基础服务(Microsoft Windows / SQL Azure,CDN等背后的基础设施)没有(http://www.globalfoundationservices.com/security/)。不过,看到GFS在不久的将来取得一些认证,我不会感到惊讶。