Ich möchte eine Anwendung unter Windows Azure hosten, in der die Kreditkarteninformationen von Benutzern gespeichert sind, die für den Kauf von Abonnements für eine monatliche Gebühr bezahlen. Ich müsste die Kartendaten nur so sicher wie möglich speichern (verschlüsseln, salzen, Datenbankkennwort oft aktualisieren, HTTPS verwenden usw.)
Ich glaube, ich muss PCI-konform sein, um diese Art von Informationen speichern zu können. Meine Frage ist, kann Azure mir erlauben, dies zu erreichen? Was sind meine Möglichkeiten? Kann eine Anwendung in Azure Kreditkartenzahlungen verarbeiten?
Windows Azure ist derzeit nicht PCI-kompatibel. (Es kann in der Zukunft sein, aber nicht jetzt - Roadmap)
BEARBEITEN: Azure ist jetzt Level-1-konform: windowsazure.com/de-de/support/trust-center/compliance
Windows Azure verfügt über eine Trust Center-Seite, auf der alles über seine Sicherheit und Einhaltung der Richtlinien erklärt wird (ich schlage vor, dass Sie hier mehr darüber lesen, was Azure hat und was nicht) Ссылка
Sie haben Optionen, mit denen Sie Azure-Anwendungen erstellen können, aber ein Drittanbieter (PCI-kompatibel) die eigentliche Kreditkartenverarbeitung für Sie übernimmt und damit das Risiko einer Nicht-PCI-Beanstandungsanwendung auf Azure verringert.
Ab heute ist Azure PCI DSS Level 1-konform.
Mein Verständnis von PCI-Compliance bedeutet, dass Sie jetzt Anwendungen auf Azure erstellen können und sie auch PCI-zertifiziert erhalten können. Das Erstellen einer App und das Hosting in Azure garantieren nicht die Einhaltung der Richtlinien.
Jetzt ist es konform. Sie können die Windows-Asure-Compliance-Seite besuchen und den Windows Azure-Kunden herunterladen PCI Guide.
Es ist weitgehend konform. Versuchen Sie, eine App mithilfe von Webapps und einem DB zu erstellen, die miteinander kommunizieren und den öffentlichen IP-Bereich nicht verwenden. Hier sind einige Probleme in PCI-DSS.
1.2 Erstellen Sie Firewall- und Routerkonfigurationen, die Verbindungen zwischen nicht vertrauenswürdigen Netzwerken und Systemkomponenten in der Karteninhaberdatenumgebung einschränken
1.2.1 Beschränken Sie eingehenden und ausgehenden Datenverkehr auf das, was für die Karteninhaberdatenumgebung erforderlich ist, und weisen Sie allen anderen Datenverkehr ausdrücklich zu.
1.3.3 Erlauben Sie keine direkten eingehenden oder ausgehenden Verbindungen für den Datenverkehr zwischen dem Internet und der Karteninhaberdatenumgebung.
1.3.5 Der gesamte aus der Karteninhaberdaten-Umgebung ausgehende Datenverkehr sollte ausgewertet werden, um sicherzustellen, dass er den festgelegten autorisierten Regeln folgt. Verbindungen sollten überprüft werden, um den Datenverkehr nur auf autorisierte Kommunikation zu beschränken (z. B. durch Einschränken der Quellen- / Zieladressen / -ports und / oder Blockieren von Inhalten).
Die Windows Azure PCI-Konformitätsbescheinigung (AoC) listet keine Dienste auf, die Kunden tatsächlich kaufen können. Das AoC zertifiziert die folgenden Dienste:
Azure-Kerndienste, Azure Platform Services, Azure-Verzeichnisdienste, Datenverarbeitung, Infrastruktur, Vorgänge.
... aber diese Dienste (zumindest mit Namen, wie auch immer), können nicht "gekauft" werden.
Ich habe den folgenden Blogartikel zusammengestellt, in dem ein QSA wie ich mit mehrjähriger PCI DSS Auditing-Erfahrung ein Problem mit Azure hat:
Tim Holman, QSA, 2-sek ...
Tags und Links azure credit-card pci-compliance