在Azure上承载PCI兼容应用程序

Question

我想在Windows Azure上托管一个应用程序，该应用程序存储支付每月费用的订阅用户的信用卡信息。我只需要尽可能安全地存储卡数据（经常加密，加盐，更新数据库密码，使用HTTPS等）

我相信我需要符合PCI规范才能存储此类的信息。我的问题是Azure能否实现这一目标？我有什么选择？ Azure流程信用卡付款申请可以吗？

Answer 1

Windows Azure目前不符合PCI标准。 （它可能会在未来，但不是现在 - 路线图）

编辑： Azure是现在的Level-1兼容：windowsazure.com/en-us/support/trust-center/compliance

的Windows Azure有一个信任中心页面，其中介绍了有关其安全性和合规性的所有信息（我建议您在此处详细了解有关Azure的具体内容以及没有的内容）https://www.windowsazure.com/en-us/support/trust-center/

您有可以在其中构建Azure应用程序的选项，第三方（PCI兼容）为您处理实际的信用卡处理，从而减轻您在Azur上进行非PCI投诉申请的风险即

Answer 2

截至今天，Azure符合PCI DSS 1级标准。

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

我的PCI合规性的理解意味着你现在允许在Azure上构建应用程序，应该能够让他们PCI认证为好。只是构建应用程序并将其托管在Azure中并不保证合规性。

Answer 3

现在它符合标准。您可以访问the Windows Asure compliance page以获取详细信息，也可以下载Windows Azure客户PCI指南。

Answer 4

它在广义上符合规定。尝试使用webapps和数据库互相通信而不使用公共IP空间来构建应用程序。以下是PCI-DSS中的一些问题。

了限制不受信任的网络，并在持卡人数据环境

1.2.1限制入站和出站通信到所必需的持卡人数据环境，并且具体的任何系统组件之间的连接1.2生成防火墙和路由器配置否认所有其他流量。

1.3.3不允许在因特网和持卡人数据环境之间进行任何流量的入站或出站直接连接。

1.3.5应对持卡人数据环境外出的所有流量进行评估，以确保其遵循已建立的授权规则。应检查连接以限制流量仅限于授权通信（例如通过限制源/目标地址/端口和/或阻止内容）。

Answer 5

Windows Azure PCI合规性证明（AoC）没有列出客户实际上可以购买和购买的任何服务。AoC认证以下服务：

Azure核心服务，Azure平台服务，Azure目录服务，数据处理，基础架构，操作。

...但这些服务（至少按名称，无论如何），不能被“买”。

我已经把下面的博客文章中，至于为什么一个QSA像我这样有几年的PCI DSS审计经验，先后与Azure的问题：

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

蒂姆·霍尔曼，QSA， 2秒...