security cloud azure-sql-database pci-dss

security - ¿Cumple SQL Azure PCI-DSS?



cloud azure-sql-database (7)

AWS ahora cumple con PCI DSS 2.0 Nivel 1, por lo que las suposiciones de que un proveedor de la nube no puede alcanzar el Nivel 1 no son correctas:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

Además, Rackspace también ha logrado el cumplimiento del nivel 1 de PCI:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

Es cierto que Microsoft aún no ha logrado el cumplimiento de PCI para Windows Azure.

Es probable que estén trabajando activamente para abordar las limitaciones de Windows Azure, de modo que también puedan brindar este servicio a sus clientes y seguir siendo competitivos, pero a la fecha todavía no han alcanzado el cumplimiento de PCI.

Si tuviera que usar un servidor de Windows separado que fuera compatible con PCI-DSS, ¿seguiría siendo compatible si tuviera un SQL Azure alojando el servidor? Esto es asumiendo que soy compatible en la capa de aplicación, y que solo estoy almacenando valores permitidos (como no CVV), etc.

Amazon anunció el cumplimiento de PCI DSS Nivel 1 el 7 de diciembre de 2010 . Mi respuesta a continuación es ahora incorrecta.

Consulte http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/ . Amazon dice que no puede lograr el cumplimiento de PCI-DSS nivel 1 en su infraestructura. Las líneas importantes son:

Es posible que cree una aplicación compatible con el nivel 2 de PCI en nuestra nube de AWS utilizando EC2 y S3, pero no puede alcanzar el nivel 1. Si tiene una violación de datos, automáticamente necesita cumplir con el nivel 1, lo que requiere una auditoría in situ; Eso es algo que no podemos extender a nuestros clientes.

No he leído la documentación de Azure, pero estoy bastante seguro de que no permiten la auditoría en el sitio. Dado esto, las mismas conclusiones se aplicarían también a Microsoft Azure.

Con PCI DSS es importante recordar que no solo se trata de almacenar, se trata de "almacenar, procesar o transmitir". Si ocurre algo de esto en la nube o a través de ella, la nube se convierte en parte de su entorno de datos del titular de la tarjeta, por lo que está dentro del alcance del cumplimiento de PCI. Ya que es una nube que no controla, no habría manera de verificar el cumplimiento.

Sin verificación, sin cumplimiento. Lo siento.

Microsoft escribe en el Azure Faq:

En el lanzamiento comercial, Windows Azure no tendrá auditorías específicas ni certificaciones de seguridad. Puede esperar a vernos para obtener certificaciones clave, como la ISO27001, en un futuro próximo. La plataforma de Windows Azure y Windows Azure aplican las rigurosas prácticas de seguridad incorporadas en el proceso del ciclo de vida del desarrollo de la seguridad (SDL). SDL introduce la seguridad y la privacidad desde el principio y durante todo el proceso de desarrollo. La plataforma Windows Azure y Windows Azure también se benefician de las capacidades de seguridad que ofrece la infraestructura de los Servicios de la Fundación Global de Microsoft (GFS). Las garantías de GFS son validadas por auditores externos con regularidad e incluyen un programa de seguridad integral que cubre todo el paquete de entrega.

Microsoft no hace ninguna reclamación con respecto a los estándares PCI para alojamiento de terceros. Hay formas de desarrollar aplicaciones basadas en la nube para utilizar procesadores de datos PCI de terceros que pueden mantener la aplicación en la nube fuera de alcance.

http://www.microsoft.com/windowsazure/faq/default.aspx

elija "Acuerdos de licencia y nivel de servicio" en el menú desplegable, luego busque el último párrafo "¿Qué certificaciones de auditoría y seguridad de la industria cubren la plataforma de Windows Azure? Específicamente, llame a la posición en SAS70, ISO 27001 y PCI?"

No estoy seguro del estado de Cumplimiento de PCI-DSS en Azure, pero señalaré que Azure y EC2S3 no son los mismos animales. Azure es una infraestructura completamente alojada que expone los servicios y los puntos finales para ofrecer a los escritores de aplicaciones la capacidad de sentarse en una plataforma totalmente administrada y monitoreada (incluidas las construcciones de seguridad típicas implementadas para el servidor local) y extender estos servicios a las aplicaciones residentes. .

Teniendo en cuenta la cantidad de tiempo que Microsoft ha pasado con la gente de PCI (a partir de Vista), me sorprendería mucho que una aplicación compatible con PCI-DSS no mantuviera su nivel de certificación cuando se extendió a Windows Azure.

Espero que esto ayude. El propósito no era atacar a EC2S3, sino más bien culpar a Azure.

Sr. Ayudante :-)

Parece que AWS y Rackspace han alcanzado un cierto nivel de cumplimiento (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/ ), pero Global Foundation Services (la infraestructura detrás de Microsoft Windows / SQL Azure, CDN, etc.) no tiene (http : //www.globalfoundationservices.com/security/). Sin embargo, no me sorprendería ver que GFS logra cierta acreditación en un futuro cercano.

Sólo una actualización sobre esta pregunta.

En su estado actual, Windows Azure cumple con PCI DSS Nivel 1 . Consulte el siguiente artículo del Centro de confianza de Windows Azure para obtener más información: Centro de confianza de Windows Azure - Cumplimiento