Si tuviera que usar Windows Server por separado que fuera compatible con PCI-DSS, ¿seguiría siendo compatible si tuviera SQL Azure alojando el back-end? Esto supone que soy compatible en la capa de aplicación y que solo estoy almacenando los valores permitidos (como sin CVV), etc.¿Cumple SQL Azure PCI-DSS?
Respuesta
AWS es ahora PCI DSS 2.0 Nivel 1 compatible, por lo que las suposiciones de que el nivel 1 no es alcanzable por un proveedor nube no es correcta:
http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/
Además, Rackspace también ha alcanzado el nivel PCI 1 cumplimiento:
es cierto que Microsoft aún no ha alcanzado el cumplimiento de PCI para Windows Azure.
Es probable que están trabajando activamente en hacer frente a cualquier limitación en Windows Azure para que ellos también serán capaces de ofrecer este servicio a sus clientes y seguir siendo competitivos, pero a fecha de hoy todavía no han alcanzado el cumplimiento de PCI.
Con PCI DSS es importante recordar que no se trata solo de almacenar, es "almacenar, procesar o transmitir". Si algo de esto sucede en oa través de la nube, entonces la nube se convierte en parte de su entorno de datos del titular de la tarjeta, por lo tanto, dentro del alcance del cumplimiento de PCI. Dado que es una nube que no controla, no habría forma de verificar el cumplimiento.
Sin verificación, no conformidad. Lo siento.
¿Sin embargo, requiere control si el proveedor verifica el cumplimiento? Supongamos que utiliza un proveedor de alojamiento externo (en la nube o físico). Si cumplen con los estándares PCI, y pueden pasar el escaneo, es legítimo, ¿verdad? Estoy bastante seguro de que no tiene que ser el propietario del servidor para cumplir ... – jchapa
Amazon anunció PCI DSS Level 1 compliance on Dec 07, 2010. Mi respuesta a continuación ahora es incorrecta.
Ver
http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/. Amazon dice que no se puede lograr el cumplimiento del nivel 1 de PCI-DSS en su infraestructura. Las líneas son importantes -
Es posible que usted construya un nivel 2 de aplicaciones compatible con PCI en nuestro utilizando EC2 nube de AWS y S3, pero no puede alcanzar el nivel de cumplimiento 1. Si tiene una violación de datos, automáticamente necesita cumplir con el nivel 1 que requiere una auditoría en el sitio; eso es algo que no podemos extender a nuestros clientes .
No he leído la documentación de Azure, pero estoy bastante seguro de que no permiten la auditoría en el sitio. Dado que, las mismas conclusiones se aplicarían a Microsoft Azure también.
Gracias por la ayuda. – jchapa
Cada nivel de comerciante bajo PCI DSS debe cumplir exactamente las mismas obligaciones. La única diferencia en los niveles está en la cantidad de prueba/auditoría requerida para la evaluación anual (SAQ). Para el Nivel 4, es más o menos un sistema de honestidad. Para el Nivel 1, debe someterse a una auditoría completa por parte de un QSA, donde inspeccionan físicamente todo. Sin embargo, para ambos casos, el comerciante/proveedor de servicios todavía tiene que seguir los 12 puntos de PCI DSS. En otras palabras, si Amazon dice que no puede cumplir con la norma PCI DSS 'nivel 1', entonces no puede cumplir con PCI DSS, punto. – Mike
No estoy seguro de la autoridad de ese blog, pero esto es lo que dice la página oficial de Amazon: "Los comerciantes que procesan, almacenan y/o transmiten datos de tarjetas de crédito en la infraestructura de AWS pueden cumplir con PCI, incluidos los comerciantes de nivel 1". http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/ –
No estoy seguro del estado de cumplimiento de PCI-DSS en Azure, pero señalaré que Azure y EC2S3 no son los mismos animales. Azure es una infraestructura alojada completamente que expone servicios y puntos finales para ofrecer a los escritores de aplicaciones la capacidad de sentarse en una plataforma totalmente administrada y monitoreada (incluidos los constructos de seguridad típicos en el servidor local) y extender estos servicios a las aplicaciones residentes .
Teniendo en cuenta la cantidad de tiempo que Microsoft pasó con los usuarios de PCI (de Vista), me sorprendería mucho que una aplicación compatible con PCI-DSS no mantuviera su nivel de certificación cuando se extendía a Windows Azure.
Espero que esto ayude. El objetivo no era criticar a EC2S3, sino más bien rellenar los límites de Azure.
Sr. Ayudante :-)
Gracias por los comentarios. +1 – jchapa
Microsoft escribe en el Azure Faq:
En el lanzamiento comercial, Windows Azure no tendrá certificaciones de auditoría o de seguridad específicas. Puede esperar que veamos certificaciones clave, como ISO27001, en el futuro cercano. La plataforma Windows Azure y Windows Azure aplican las rigurosas prácticas de seguridad incorporadas en el proceso del ciclo de vida de desarrollo de la seguridad (SDL). SDL introduce seguridad y privacidad desde el principio y durante todo el proceso de desarrollo. La plataforma Windows Azure y Windows Azure también se benefician de las capacidades de seguridad que ofrece la infraestructura de Microsoft Global Foundation Services (GFS). Las garantías de GFS son validadas por auditores externos de forma periódica e incluyen un programa de seguridad completo que cubre todo el paquete de entregas.
Microsoft no realiza ninguna reclamación con respecto a las normas PCI para hosting de terceros. Hay formas de desarrollar aplicaciones basadas en la nube para utilizar procesadores de datos PCI de terceros que pueden mantener a la aplicación en la nube fuera del alcance.
http://www.microsoft.com/windowsazure/faq/default.aspx
elegir "Licencias y de nivel de servicio Acuerdos" en el menú desplegable luego encontrar el último párrafo "Lo que de auditoría y seguridad de la industria certificaciones cubren la plataforma Windows Azure? Específicamente, llame a su postura respecto a SAS 70, ISO 27001, y PCI? "
No estoy seguro de si ha visto la información de seguridad, pero parece que los Centros de datos de Microsoft cumplen con PCI a partir de enero de 2012: http://cdn.globalfoundationservices.com/documents/Strategy_Brief_Securing_Cloud_Infrastructure.pdf –
Parece que AWS y Rackspace han logrado cierto nivel de cumplimiento (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/), pero Global Foundation Services (la infraestructura detrás de Microsoft Windows/SQL Azure, CDN, etc.) no tiene (http://www.globalfoundationservices.com/security/). Sin embargo, no me sorprendería ver que GFS logra cierta acreditación en el futuro cercano.
Solo una actualización de esta pregunta.
En su redacción actual, Windows Azure es de hecho PCI DSS Nivel 1 compatible. Consulte el siguiente artículo del Centro de confianza de Windows Azure para obtener más información: Windows Azure Trust Center - Compliance
- 1. Microsoft Azure Storage vs. Azure SQL Database
- 2. Sql Azure: ¿servidores separados?
- 3. SQL Azure Profiling
- 4. SQL Azure Restablecer autoincrement
- 5. Replicación SQL Azure
- 6. SQL Azure and Indexes
- 7. LINQ to SQL with SQL Azure
- 8. SQL Azure Federation en NHibernate
- 9. SQL Azure nivel de compatibilidad
- 10. Tareas programadas con Sql Azure?
- 11. ¿Cómo se comparan SQL Azure y Azure Table Storage?
- 12. Alojamiento normal vs Cloud/Azure y función de SQL Azure vs SQL Server
- 13. Azure Blob: "No se cumple la condición especificada mediante encabezado (s) condicional (es) HTTP"
- 14. NHibernate con Sql Azure y Sharding
- 15. ¿Carga masiva de archivos en SQL Azure?
- 16. Estrategia de actualización del esquema SQL Azure
- 17. Búsqueda de texto completo en SQL Azure
- 18. Tamaño de la tabla SQL Azure
- 19. ¿Cómo identifico un interbloqueo en SQL Azure?
- 20. SQL Azure: más tiempos de espera intermitentes
- 21. Entity Framework - SQL Azure Retry Policy
- 22. Tablas de almacenamiento de Azure contra SQL
- 23. ¿Qué ORM usar con SQL Azure?
- 24. Copias de seguridad de SQL Azure
- 25. ¿Cómo conectar Symfony2 con SQL Azure?
- 26. usando tablas temporales en SQL Azure
- 27. SQL Azure Database Canalizaciones con nombre Error
- 28. Base de datos SQL Azure usando SQL Server Management Studio
- 29. ¿Cumple WordPress MVC?
- 30. ¿Cómo trato la pérdida repentina de conexión a SQL Azure en mi rol de Azure?
Tenga en cuenta que esta es la respuesta ya no es preciso MS Azure ha alcanzado el cumplimiento del nivel 1 de PCI-DSS según mi comentario a continuación el 10 de julio. –