16

如果我要使用符合 PCI-DSS 的单独 Windows Server,如果我有一个托管后端的 SQL Azure,我是否仍然符合标准?这是假设我在应用程序层是合规的,并且我只存储允许的值(如无 CVV)等。

4

7 回答 7

14

AWS 现在符合 PCI DSS 2.0 级别 1,因此云供应商无法实现级别 1 的假设是不正确的:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

此外,Rackspace 还实现了 PCI 1 级合规性:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

确实,Microsoft 尚未实现 Windows Azure 的 PCI 合规性。

他们可能正在积极努力解决 Windows Azure 中的任何限制,以便他们也能够向他们的客户提供这项服务并保持竞争力,但截至目前,他们还没有达到 PCI 合规性。

于 2011-04-20T03:37:05.843 回答
11

微软在 Azure 常见问题解答中写道:

在商业发布时,Windows Azure 将没有特定的审计或安全认证。您可以期待在不久的将来看到我们追求关键认证,例如 ISO27001。Windows Azure 平台和 Windows Azure 应用了纳入安全开发生命周期 (SDL) 流程的严格安全实践。SDL 在整个开发过程中及早引入安全和隐私。Windows Azure 平台和 Windows Azure 还受益于 Microsoft 全球基础服务 (GFS) 基础架构提供的安全功能。GFS 保证由外部审计员定期验证,包括涵盖整个交付堆栈的全面安全计划。

Microsoft 未就第 3 方托管的 PCI 标准作出任何声明。有一些方法可以开发基于云的应用程序以使用第三方 PCI 数据处理器,这可能会使云应用程序本身超出范围。

http://www.microsoft.com/windowsazure/faq/default.aspx

在下拉菜单中选择“许可和服务级别协议”,然后找到最后一段“哪些行业审计和安全认证涵盖了 Windows Azure 平台?具体来说,请指出对 SAS70、ISO 27001 和 PCI 的立场?”

于 2010-09-30T10:44:28.460 回答
3

不确定 Azure 中的 PCI-DSS 合规性状态,但我会注意到 Azure 和 EC2S3 不是同一种动物。Azure 是一个完全托管的基础设施,它公开服务和端点,使应用程序编写者能够坐在完全托管和监控(包括本地服务器产品的典型安全结构)平台上,并将这些服务扩展到常驻应用程序.

考虑到 Microsoft 与 PCI 人员(从 Vista 开始)一起花费的时间,如果一个符合 PCI-DSS 的应用程序在扩展到 Windows Azure 时没有保持其认证级别,我会感到非常惊讶。

希望这可以帮助。目的不是抨击 EC2S3,更多的是填补 Azure 上的空白。

帮手先生:-)

于 2010-09-01T02:59:04.093 回答
3

只是这个问题的更新。

就目前而言,Windows Azure 确实符合 PCI DSS 1 级标准。有关详细信息,请参阅以下 Windows Azure 信任中心文章: Windows Azure 信任中心 - 合规性

于 2014-07-10T13:32:28.960 回答
2

对于 PCI DSS,重要的是要记住它不仅仅是存储,它是“存储、处理或传输”。如果其中任何一种情况发生在云中或通过云发生,那么云将成为您持卡人数据环境的一部分,从而符合 PCI 合规性。由于它是您无法控制的云,因此无法验证合规性。

没有验证,没有合规。对不起。

于 2010-08-01T04:03:55.317 回答
1

亚马逊于2010 年 12 月 7 日宣布了 PCI DSS 1 级合规性。我下面的答案现在不正确。

请参阅http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/。亚马逊表示,您无法在其基础设施上实现 PCI-DSS 1 级合规性。重要的线路是 -

您可以使用 EC2 和 S3 在我们的 AWS 云中构建符合 PCI 级别 2 的应用程序,但您无法实现级别 1 的合规性。如果您有数据泄露,您自动需要成为需要现场审核的 1 级合规;这是我们无法延伸到客户的东西。

我没有阅读 Azure 的文档,但我很确定他们不允许现场审核。鉴于此,同样的结论也适用于 Microsoft Azure。

于 2010-08-02T16:35:47.360 回答
1

看起来 AWS 和 Rackspace 都达到了一定程度的合规性(http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/ rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/),但全球基础服务(Microsoft Windows/SQL Azure、CDN 等背后的基础设施)还没有(http ://www.globalfoundationservices.com/security/)。不过,看到 GFS 在不久的将来获得一些认证,我不会感到惊讶。

于 2011-04-25T18:03:28.827 回答