Alojando una aplicación compatible con PCI en Azure

Question

Quiero alojar una aplicación en Windows Azure que almacena la información de la tarjeta de crédito de los usuarios que pagan para comprar suscripciones por una tarifa mensual. Solo tendría que almacenar los datos de la tarjeta de la forma más segura posible (cifrar, eliminar, actualizar la contraseña de la base de datos con frecuencia, usar HTTPS, etc.)

Creo que necesito cumplir con PCI para poder almacenar este tipo de información. Mi pregunta es si Azure me permite lograr esto? ¿Cuáles son mis opciones? ¿Puede una aplicación en Azure procesar pagos con tarjeta de crédito?

Answer 1

Windows Azure actualmente no es compatible con PCI. (Puede ser en el futuro, pero no ahora - hoja de ruta)

EDIT: Azure es ahora Nivel-1 compatible: windowsazure.com/en-us/support/trust-center/compliance

de Windows Azure tiene una página del Centro de confianza que explica todo sobre su seguridad y conformidad (le sugiero que lea más al respecto aquí acerca de lo que Azure tiene y no tiene) https://www.windowsazure.com/en-us/support/trust-center/

Tiene opciones donde puede compilar aplicaciones Azure pero deje una tercera party (compatible con PCI) maneja el procesamiento de la tarjeta de crédito real para usted, lo que mitiga el riesgo de una aplicación de queja no PCI en Azur mi.

Answer 2

A día de hoy, Azure cumple con la norma PCI DSS Nivel 1.

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

Mi comprensión de PCI Compliance significa que ahora se permite construir aplicaciones en Azure y debe ser capaz de conseguir que la certificación PCI también. Solo crear una aplicación y alojarlo en Azure no garantiza el cumplimiento.

Answer 3

Ahora es compatible. Puede visitar the Windows Asure compliance page para obtener más información y también descargar la Guía PCI para clientes de Windows Azure.

Answer 4

Es conforme en términos generales. Intente crear una aplicación usando webapps y una base de datos que se comuniquen entre sí y no utilicen el espacio público de IP. Aquí hay algunos problemas en PCI-DSS.

firewall y del router configuraciones 1.2 Build que restringen conexiones entre redes no confiables y cualquier componente del sistema en el entorno de datos de titulares de tarjetas

1.2.1 Restringir el tráfico entrante y saliente a lo que es necesario para el entorno de datos de titulares de tarjetas, y específicamente negar todo el resto del tráfico.

1.3.3 No permita ninguna conexión directa entrante o saliente para el tráfico entre Internet y el entorno de datos del titular de la tarjeta.

1.3.5 Todo el tráfico saliente del entorno de datos del titular de la tarjeta debe evaluarse para garantizar que sigue las reglas establecidas y autorizadas. Las conexiones deben inspeccionarse para restringir el tráfico a solo las comunicaciones autorizadas (por ejemplo, restringiendo las direcciones/puertos de origen/destino y/o el bloqueo del contenido).

Answer 5

La certificación de conformidad PCI (AoC) de Windows Azure no incluye ningún servicio que los clientes realmente puedan comprar.El AoC certifica los siguientes servicios:

Azure Core Services, Azure Platform Services, Azure Directory Services, procesamiento de datos, infraestructura, operaciones.

... pero estos servicios (al menos por nombre, de todos modos) no se pueden "comprar".

He creado el siguiente artículo del blog, por qué un QSA como yo con varios años de experiencia en auditoría PCI DSS, tiene un problema con Azure:

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

Tim Holman, QSA, 2-sec ...