1. Inicio
  2. Pregunta y respuesta
  3. ¿Cumple SQL Azure PCI-DSS?

¿Cumple SQL Azure PCI-DSS?

2010-08-01 17 views
16

Si tuviera que usar Windows Server por separado que fuera compatible con PCI-DSS, ¿seguiría siendo compatible si tuviera SQL Azure alojando el back-end? Esto supone que soy compatible en la capa de aplicación y que solo estoy almacenando los valores permitidos (como sin CVV), etc.¿Cumple SQL Azure PCI-DSS?

Fuente

2010-08-01 jchapa

Respuesta

14

AWS es ahora PCI DSS 2.0 Nivel 1 compatible, por lo que las suposiciones de que el nivel 1 no es alcanzable por un proveedor nube no es correcta:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

Además, Rackspace también ha alcanzado el nivel PCI 1 cumplimiento:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

es cierto que Microsoft aún no ha alcanzado el cumplimiento de PCI para Windows Azure.

Es probable que están trabajando activamente en hacer frente a cualquier limitación en Windows Azure para que ellos también serán capaces de ofrecer este servicio a sus clientes y seguir siendo competitivos, pero a fecha de hoy todavía no han alcanzado el cumplimiento de PCI.

Fuente

2011-04-20 03:37:05 Erik

+1

Tenga en cuenta que esta es la respuesta ya no es preciso MS Azure ha alcanzado el cumplimiento del nivel 1 de PCI-DSS según mi comentario a continuación el 10 de julio. –

2

Con PCI DSS es importante recordar que no se trata solo de almacenar, es "almacenar, procesar o transmitir". Si algo de esto sucede en oa través de la nube, entonces la nube se convierte en parte de su entorno de datos del titular de la tarjeta, por lo tanto, dentro del alcance del cumplimiento de PCI. Dado que es una nube que no controla, no habría forma de verificar el cumplimiento.

Sin verificación, no conformidad. Lo siento.

Fuente

2010-08-01 04:03:55 Gene

+2

¿Sin embargo, requiere control si el proveedor verifica el cumplimiento? Supongamos que utiliza un proveedor de alojamiento externo (en la nube o físico). Si cumplen con los estándares PCI, y pueden pasar el escaneo, es legítimo, ¿verdad? Estoy bastante seguro de que no tiene que ser el propietario del servidor para cumplir ... – jchapa

1

Amazon anunció PCI DSS Level 1 compliance on Dec 07, 2010. Mi respuesta a continuación ahora es incorrecta.

Ver http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/. Amazon dice que no se puede lograr el cumplimiento del nivel 1 de PCI-DSS en su infraestructura. Las líneas son importantes -

Es posible que usted construya un nivel 2 de aplicaciones compatible con PCI en nuestro utilizando EC2 nube de AWS y S3, pero no puede alcanzar el nivel de cumplimiento 1. Si tiene una violación de datos, automáticamente necesita cumplir con el nivel 1 que requiere una auditoría en el sitio; eso es algo que no podemos extender a nuestros clientes .

No he leído la documentación de Azure, pero estoy bastante seguro de que no permiten la auditoría en el sitio. Dado que, las mismas conclusiones se aplicarían a Microsoft Azure también.

Fuente

2010-08-02 16:35:47

+0

Gracias por la ayuda. – jchapa

+0

Cada nivel de comerciante bajo PCI DSS debe cumplir exactamente las mismas obligaciones. La única diferencia en los niveles está en la cantidad de prueba/auditoría requerida para la evaluación anual (SAQ). Para el Nivel 4, es más o menos un sistema de honestidad. Para el Nivel 1, debe someterse a una auditoría completa por parte de un QSA, donde inspeccionan físicamente todo. Sin embargo, para ambos casos, el comerciante/proveedor de servicios todavía tiene que seguir los 12 puntos de PCI DSS. En otras palabras, si Amazon dice que no puede cumplir con la norma PCI DSS 'nivel 1', entonces no puede cumplir con PCI DSS, punto. – Mike

+0

No estoy seguro de la autoridad de ese blog, pero esto es lo que dice la página oficial de Amazon: "Los comerciantes que procesan, almacenan y/o transmiten datos de tarjetas de crédito en la infraestructura de AWS pueden cumplir con PCI, incluidos los comerciantes de nivel 1". http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/ –

3

No estoy seguro del estado de cumplimiento de PCI-DSS en Azure, pero señalaré que Azure y EC2S3 no son los mismos animales. Azure es una infraestructura alojada completamente que expone servicios y puntos finales para ofrecer a los escritores de aplicaciones la capacidad de sentarse en una plataforma totalmente administrada y monitoreada (incluidos los constructos de seguridad típicos en el servidor local) y extender estos servicios a las aplicaciones residentes .

Teniendo en cuenta la cantidad de tiempo que Microsoft pasó con los usuarios de PCI (de Vista), me sorprendería mucho que una aplicación compatible con PCI-DSS no mantuviera su nivel de certificación cuando se extendía a Windows Azure.

Espero que esto ayude. El objetivo no era criticar a EC2S3, sino más bien rellenar los límites de Azure.

Sr. Ayudante :-)

Fuente

2010-09-01 02:59:04

+0

Gracias por los comentarios. +1 – jchapa

11

Microsoft escribe en el Azure Faq:

En el lanzamiento comercial, Windows Azure no tendrá certificaciones de auditoría o de seguridad específicas. Puede esperar que veamos certificaciones clave, como ISO27001, en el futuro cercano. La plataforma Windows Azure y Windows Azure aplican las rigurosas prácticas de seguridad incorporadas en el proceso del ciclo de vida de desarrollo de la seguridad (SDL). SDL introduce seguridad y privacidad desde el principio y durante todo el proceso de desarrollo. La plataforma Windows Azure y Windows Azure también se benefician de las capacidades de seguridad que ofrece la infraestructura de Microsoft Global Foundation Services (GFS). Las garantías de GFS son validadas por auditores externos de forma periódica e incluyen un programa de seguridad completo que cubre todo el paquete de entregas.

Microsoft no realiza ninguna reclamación con respecto a las normas PCI para hosting de terceros. Hay formas de desarrollar aplicaciones basadas en la nube para utilizar procesadores de datos PCI de terceros que pueden mantener a la aplicación en la nube fuera del alcance.

http://www.microsoft.com/windowsazure/faq/default.aspx

elegir "Licencias y de nivel de servicio Acuerdos" en el menú desplegable luego encontrar el último párrafo "Lo que de auditoría y seguridad de la industria certificaciones cubren la plataforma Windows Azure? Específicamente, llame a su postura respecto a SAS 70, ISO 27001, y PCI? "

Fuente

2010-09-30 10:44:28 Erwin

+1

No estoy seguro de si ha visto la información de seguridad, pero parece que los Centros de datos de Microsoft cumplen con PCI a partir de enero de 2012: http://cdn.globalfoundationservices.com/documents/Strategy_Brief_Securing_Cloud_Infrastructure.pdf –

1

Parece que AWS y Rackspace han logrado cierto nivel de cumplimiento (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/), pero Global Foundation Services (la infraestructura detrás de Microsoft Windows/SQL Azure, CDN, etc.) no tiene (http://www.globalfoundationservices.com/security/). Sin embargo, no me sorprendería ver que GFS logra cierta acreditación en el futuro cercano.

Fuente

2011-04-25 18:03:28

3

Solo una actualización de esta pregunta.

En su redacción actual, Windows Azure es de hecho PCI DSS Nivel 1 compatible. Consulte el siguiente artículo del Centro de confianza de Windows Azure para obtener más información: Windows Azure Trust Center - Compliance

Fuente

2014-07-10 13:32:28

Cuestiones relacionadas

 Cuestiones relacionadas