1. ホーム
  2. 質問と答え
  3. AzureでPCI対応のアプリケーションをホストする

AzureでPCI対応のアプリケーションをホストする

2012-06-23 5 views
8

月額料金で購読を購入するユーザーのクレジットカード情報を保存するWindows Azure上でアプリケーションをホストしたいと考えています。私はちょうどできるだけ安全にカードデータを保存する必要があります(暗号化、塩、データベースパスワードを頻繁に更新する、HTTPSを使用するなど)AzureでPCI対応のアプリケーションをホストする

私はこの種のカードを保存できるようにする必要があると信じています情報の私の質問は、私がこれを達成できるようにすることができますか?私の選択肢は何ですか? Azureのアプリケーションでクレジットカードによる支払いを処理できますか?

出典

2012-06-23 Mark13426

答えて

11

現在、Windows AzureはPCIに準拠していません。 (それは今、将来的にもないかもしれないが - ロードマップ)

EDIT: Azureのが今のレベル1に準拠している:

のWindows windowsazure.com/en-us/support/trust-center/compliance Azureには、そのセキュリティとコンプライアンスに関するすべてのことを説明する信頼センターのページがあります(Azureが持つものとそうでないものについてここで詳しくお読みください)https://www.windowsazure.com/en-us/support/trust-center/

Azureアプリケーションを構築するオプションはありますが、パーティ(PCI準拠)はお客様のために実際のクレジットカード処理を処理するため、Azur上のPCI以外のクレーム申請のリスクを軽減しますe。

出典

2012-06-23 05:38:29 user728584

+0

私はPayPalのPayments Pro Agreementを見ていました。私はPCIに準拠していることに同意したいので、PayPalを使用できるかどうかはわかりません。 – Mark13426

+0

私が見る唯一の選択肢は、クレジットカード情報をオンプレミスで保管し、その後、標準セキュリティを使用して第三者によって処理されるハイリビッドアプローチです。 SSLを実行してから、アプリの他の部分をAzureで実行してください。別のアプローチがあるかもしれませんが、Azure PlatformはPCI自体ではありません。 – user728584

+0

支払いのためにウェブページを持っていれば、Stripe.comをご覧ください。設計どおりにAPIを使用する場合は、pciに準拠する必要はありません。 –

10

現在、AzureはPCI DSSレベル1に準拠しています。

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

PCIコンプライアンスの私の理解では、あなたが今のAzure上でアプリケーションを構築するために許可されていると、彼らにだけでなく、認定PCIを取得することができなければならないことを意味しています。 Azureでアプリケーションを作成してホスティングするだけでは、コンプライアンスが保証されるわけではありません。

出典

2014-01-17 01:44:16

0

これは広義に準拠しています。パブリックIPスペースを使用せず、お互いに通信するWebアプリケーションとDBを使用してアプリケーションを構築してみてください。 PCI-DSSのいくつかの問題があります。信頼できないネットワークとカード会員データ環境

1.2.1カード会員データ環境のために必要であることへのインバウンドとアウトバウンドのトラフィックを制限し、特に内の任意のシステムコンポーネント間の接続を制限

1.2ビルドのファイアウォールやルータの設定他のすべてのトラフィックを拒否する

1.3.3インターネットとカード保有者データ環境の間のトラフィックのインバウンドまたはアウトバウンド接続を許可しないでください。

1.3.5カード所有者データ環境から発信されるすべてのトラフィックは、確立された許可されたルールに従っていることを確認するために評価する必要があります。接続は、(例えば、送信元/宛先アドレス/ポートを制限すること、および/またはコンテンツをブロックすることによって)トラフィックを許可された通信のみに制限するために検査されるべきである。

出典

2015-08-20 21:39:27

0

Windows Azure PCIアテステーションオブコンプライアンス(AoC)には、顧客が実際に外出して購入できるサービスは含まれていません。AoCは、以下のサービスを認証します。

Azure Core Services、Azureプラットフォームサービス、Azureディレクトリサービス、データ処理、インフラストラクチャ、オペレーション

...しかし、これらのサービス(少なくとも名前はとにかく)は購入できません。

私は数年前からPCI DSS監査の経験を持つなど、自分としてQSAは、アズールの問題を持っている理由として、一緒に次のブログ記事を入れている:

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

ティム・ホルマン、QSA、 2秒...

出典

2015-11-16 17:34:53

関連する問題

 関連する問題