azure - 在 Azure 上托管符合 PCI 的应用

Question

我想在 Windows Azure 上托管一个应用程序，该应用程序存储按月付费购买订阅的用户的信用卡信息。我只需要尽可能安全地存储卡数据（加密、加盐、经常更新数据库密码、使用 HTTPS 等等）

我相信我需要符合 PCI 才能存储此类信息。我的问题是 Azure 可以让我实现这一目标吗？我有哪些选择？Azure 上的应用程序可以处理信用卡付款吗？

Answer 1

Windows Azure 当前不符合 PCI 标准。（可能在未来，但不是现在——路线图）

编辑： Azure 现在符合 1 级标准：windowsazure.com/en-us/support/trust-center/compliance

Windows Azure 有一个信任中心页面，解释了所有关于它的安全性和合规性（我建议你在这里阅读更多关于 Azure 有什么和没有什么）https://www.windowsazure.com/en-us/support/trust -中央/

您可以选择构建 Azure 应用程序，但让第 3 方（符合 PCI 标准）为您处理实际的信用卡处理，从而降低您在 Azure 上出现非 PCI 投诉应用程序的风险。

Answer 2

截至今天，Azure 符合 PCI DSS 1 级标准。

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of- windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

我对 PCI 合规性的理解意味着您现在可以在 Azure 上构建应用程序，并且应该能够让它们获得 PCI 认证。仅仅构建一个应用程序并将其托管在 Azure 中并不能保证合规性。

Answer 3

现在它是合规的。您可以访问Windows Asure 合规性页面了解详细信息，还可以下载 Windows Azure 客户 PCI 指南。

Answer 4

它在广义上是合规的。尝试使用 webapps 和 DB 构建一个应用程序，它们相互通信，而不是使用公共 IP 空间。以下是 PCI-DSS 中的一些问题。

1.2 构建防火墙和路由器配置，限制不受信任的网络与持卡人数据环境中的任何系统组件之间的连接

1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。

1.3.3 不允许互联网与持卡人数据环境之间的任何直接入站或出站流量连接。

1.3.5 应评估从持卡人数据环境出站的所有流量，以确保其遵循既定的授权规则。应检查连接以将流量限制为仅经过授权的通信（例如通过限制源/目标地址/端口和/或阻止内容）。

Answer 5

Windows Azure PCI 合规性证明 (AoC) 未列出客户实际可以购买的任何服务。AoC 认证以下服务：

Azure 核心服务、Azure 平台服务、Azure 目录服务、数据处理、基础结构、操作。

...但是这些服务（至少按名称）不能“购买”。

我整理了以下博客文章，关于为什么像我这样具有多年 PCI DSS 审计经验的 QSA 对 Azure 存在问题：

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

Tim Holman，QSA，2 秒...