यदि मैं अलग-अलग विंडोज सर्वर का उपयोग करना चाहता था जो पीसीआई-डीएसएस अनुपालन था, तो क्या मैं अभी भी अनुपालन करता हूं अगर मेरे पास बैकएंड होस्ट करने वाला SQL Azure था? यह माना जा रहा है कि मैं एप्लिकेशन लेयर पर अनुपालन कर रहा हूं, और मैं केवल अनुमति मानों (जैसे सीवीवी), आदि को संग्रहीत कर रहा हूं,एसक्यूएल एज़ूर पीसीआई-डीएसएस अनुपालन है?
उत्तर
एडब्ल्यूएस अब PCI DSS 2.0 स्तर 1 का अनुपालन करता है, तो मान्यताओं कि स्तर 1 एक बादल विक्रेता द्वारा प्राप्त नहीं है सही नहीं है:
http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/
इसके अलावा, रैकस्पेस भी हासिल किया है पीसीआई स्तर 1 अनुपालन:
यह कि माइक्रोसॉफ्ट अभी तक विंडोज Azure के लिए PCI अनुपालन हासिल नहीं किया गया है सच है।
ऐसा लगता है कि वे विंडोज़ एज़ूर में किसी भी सीमा को संबोधित करने के लिए सक्रिय रूप से काम कर रहे हैं ताकि वे भी इस सेवा को अपने ग्राहकों को प्रदान कर सकें और प्रतिस्पर्धी बने रह सकें, लेकिन आज तक उन्होंने अभी तक पीसीआई अनुपालन हासिल नहीं किया है।
पीसीआई डीएसएस के साथ यह याद रखना महत्वपूर्ण है कि यह केवल भंडारण के बारे में नहीं है, यह "स्टोर, प्रक्रिया, या संचारित है।" यदि इनमें से कोई भी क्लाउड में या उसके माध्यम से होता है तो क्लाउड आपके कार्डधारक डेटा वातावरण का हिस्सा बन जाता है, इस प्रकार पीसीआई अनुपालन के दायरे में। चूंकि यह एक क्लाउड है जिसे आप नियंत्रित नहीं करते हैं, अनुपालन को सत्यापित करने का कोई तरीका नहीं होगा।
कोई सत्यापन नहीं, कोई अनुपालन नहीं। माफ़ कीजिये।
क्या प्रदाता अनुपालन की पुष्टि करता है, तो क्या इसे नियंत्रण की आवश्यकता है? मान लें कि आप किसी तृतीय पक्ष होस्टिंग प्रदाता (क्लाउड या भौतिक) का उपयोग करते हैं। अगर वे पीसीआई मानकों के अनुरूप हैं, और स्कैन पास कर सकते हैं, तो इसका वैध, सही? मुझे पूरा यकीन है कि आपको अनुपालन करने के लिए सर्वर का स्वामित्व नहीं है ... – jchapa
अमेज़ॅन ने PCI DSS Level 1 compliance on Dec 07, 2010 की घोषणा की। मेरा जवाब अब गलत है।
http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/ देखें। अमेज़ॅन का कहना है कि आप अपने बुनियादी ढांचे पर पीसीआई-डीएसएस स्तर 1 अनुपालन प्राप्त नहीं कर सकते हैं। महत्वपूर्ण लाइनें हैं -
यह संभव है आप हमारी एडब्ल्यूएस बादल EC2 और S3 का उपयोग करने में एक पीसीआई स्तर 2 अनुरूप एप्लिकेशन के निर्माण के लिए है, लेकिन आप को प्राप्त नहीं कर सकते हैं स्तर 1 अनुपालन के लिए। यदि आप में डेटा उल्लंघन है, तो आप स्वचालित रूप से स्तर 1 अनुपालन बनने की आवश्यकता है जो ऑन-साइट ऑडिटिंग की आवश्यकता है; वह है जिसे हम अपने ग्राहकों तक नहीं बढ़ा सकते हैं।
मैंने Azure के दस्तावेज़ों को नहीं पढ़ा है, लेकिन मुझे पूरा यकीन है कि वे ऑन-साइट ऑडिटिंग की अनुमति नहीं देते हैं। यह देखते हुए, वही निष्कर्ष माइक्रोसॉफ्ट एज़ूर पर भी लागू होंगे।
सहायता के लिए धन्यवाद। – jchapa
पीसीआई डीएसएस के तहत प्रत्येक व्यापारी स्तर को समान दायित्वों को पूरा करना होगा। स्तरों में एकमात्र अंतर सालाना मूल्यांकन (एसएचक्यू) के लिए आवश्यक प्रमाण/लेखा परीक्षा की मात्रा में है। स्तर 4 के लिए, यह बहुत ईमानदारी प्रणाली है। स्तर 1 के लिए, आपको एक क्यूएसए द्वारा पूर्ण लेखा परीक्षा लेनी होगी, जहां वे भौतिक रूप से सब कुछ निरीक्षण करते हैं। हालांकि, दोनों मामलों के लिए, व्यापारी/सेवा प्रदाता को अभी भी पीसीआई डीएसएस के सभी 12 अंकों का पालन करना है। दूसरे शब्दों में - अगर अमेज़ॅन कहता है कि आप पीसीआई डीएसएस 'स्तर 1' अनुपालन नहीं कर सकते हैं, तो आप पीसीआई डीएसएस अनुपालन, अवधि नहीं हो सकते हैं। – Mike
उस ब्लॉग के अधिकार के बारे में निश्चित नहीं है, लेकिन आधिकारिक अमेज़ॅन अकसर किये गए सवाल यह कहते हैं: "व्यापारी जो एडब्ल्यूएस आधारभूत संरचना पर क्रेडिट कार्ड डेटा को संसाधित करते हैं, स्टोर करते हैं, और/या संचारित करते हैं, वे स्तर 1 व्यापारियों सहित पीसीआई अनुपालन कर सकते हैं।" http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/ –
Azure में पीसीआई-डीएसएस अनुपालन स्थिति के बारे में सुनिश्चित नहीं है, लेकिन मुझे पता चलेगा कि Azure और EC2S3 एक ही जानवर नहीं हैं। Azure एक पूरी तरह से होस्टेड इंफ्रास्ट्रक्चर है जो अनुप्रयोग लेखकों को पूरी तरह से प्रबंधित और निगरानी (ऑन-प्रिमाइज़ सर्वर उत्पाद के लिए सामान्य सुरक्षा संरचनाओं सहित) पर बैठने की क्षमता प्रदान करने के लिए सेवाओं और अंतराल का खुलासा करता है, और इन सेवाओं को निवासी अनुप्रयोगों में विस्तारित करता है ।
माइक्रोसॉफ्ट ने पीसीआई लोगों (Vista पर) के साथ बिताए गए समय को ध्यान में रखते हुए, मुझे आश्चर्य होगा कि पीसीआई-डीएसएस अनुपालन अनुप्रयोग विंडोज़ एज़ूर तक विस्तारित होने पर प्रमाणन का स्तर बनाए रखेगा।
उम्मीद है कि इससे मदद मिलती है। उद्देश्य ईसी 2 एस 3 को टक्कर नहीं देना था, यह Azure पर ब्लैक्स भरने के लिए और अधिक था।
श्री हेल्पर :-)
टिप्पणियों के लिए धन्यवाद। +1 – jchapa
माइक्रोसॉफ्ट Azure सवाल जवाब में लिखते हैं:
वाणिज्यिक शुरुआत के समय इन विंडोज Azure विशिष्ट लेखा परीक्षा या सुरक्षा प्रमाणपत्र की जरूरत नहीं होगी। आप उम्मीद कर सकते हैं कि निकट भविष्य में आईएसओ 27001 जैसे महत्वपूर्ण प्रमाणपत्रों का पीछा करें। विंडोज एज़ूर प्लेटफ़ॉर्म और विंडोज़ एज़ूर सुरक्षा विकास लाइफसाइक्ल (एसडीएल) प्रक्रिया में शामिल कठोर सुरक्षा प्रथाओं को लागू करते हैं। एसडीएल जल्दी और विकास प्रक्रिया के दौरान सुरक्षा और गोपनीयता पेश करता है। विंडोज़ एज़ूर प्लेटफॉर्म और विंडोज एज़ूर को माइक्रोसॉफ्ट ग्लोबल फाउंडेशन सर्विसेज (जीएफएस) इंफ्रास्ट्रक्चर द्वारा प्रदान की जाने वाली सुरक्षा क्षमताओं से भी फायदा होता है। जीएफएस आश्वासन नियमित आधार पर बाह्य लेखा परीक्षकों द्वारा मान्य किए जाते हैं और एक व्यापक सुरक्षा कार्यक्रम शामिल करते हैं जो पूरे वितरण ढेर को कवर करता है।
माइक्रोसॉफ्ट तीसरे पक्ष की मेजबानी के लिए पीसीआई मानकों के संबंध में कोई दावा नहीं करता है। क्लाउड आधारित अनुप्रयोगों को तृतीय पक्ष पीसीआई डेटा प्रोसेसर का उपयोग करने के तरीके विकसित करने के तरीके हैं जो क्लाउड एप्लिकेशन को दायरे से बाहर रख सकते हैं।
http://www.microsoft.com/windowsazure/faq/default.aspx
"लाइसेंसिंग और सेवा स्तर समझौतों" ड्रॉप में चयन नीचे तो अंतिम अनुच्छेद "क्या उद्योग लेखा परीक्षा और सुरक्षा प्रमाणपत्र विंडोज Azure मंच को कवर? विशेष रूप से, SAS70, आईएसओ पर स्थिति कॉल लगता है 27001, और पीसीआई? "
यह सुनिश्चित नहीं है कि आपने सुरक्षा ब्रीफिंग देखी है लेकिन ऐसा लगता है कि माइक्रोसॉफ्ट डेटा सेंटर जनवरी 2012 के अनुसार पीसीआई अनुपालन कर रहे हैं: http://cdn.globalfoundationservices.com/documents/Strategy_Brief_Securing_Cloud_Infrastructure.pdf –
लगता एडब्ल्यूएस और रैकस्पेस की तरह दोनों अनुपालन (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/) के कुछ स्तर हासिल किया है, लेकिन वैश्विक फाउंडेशन सर्विसेज (माइक्रोसॉफ्ट विंडोज/एसक्यूएल एज़ूर, सीडीएन, आदि के पीछे बुनियादी ढांचा) (http://www.globalfoundationservices.com/security/) नहीं है। मैं यह देखकर आश्चर्यचकित नहीं होगा कि जीएफएस निकट भविष्य में कुछ मान्यता प्राप्त करता है।
इस प्रश्न पर बस एक अपडेट।
जैसा कि वर्तमान में है, विंडोज़ एज़ूर वास्तव में पीसीआई डीएसएस स्तर 1 अनुपालन है। अधिक जानकारी के लिए निम्न Windows Azure ट्रस्ट सेंटर आलेख देखें: Windows Azure Trust Center - Compliance
- 1. माइक्रोसॉफ्ट एज़ूर एचआईपीएए डाटाबेस अनुपालन
- 2. एसक्यूएल एज़ूर
- 3. एसक्यूएल एज़ूर
- 4. एसक्यूएल एज़ूर
- 5. एसक्यूएल एज़ूर
- 6. एसक्यूएल एज़ूर
- 7. एसक्यूएल एज़ूर और इंडेक्स
- 8. एसक्यूएल एज़ूर बैकअप
- 9. एसक्यूएल एज़ूर प्रतिकृति
- 10. एसक्यूएल एज़ूर टेबल आकार
- 11. त्रुटि प्राप्त हो रही है "एसक्यूएल एज़ूर
- 12. एसक्यूएल एज़ूर स्कीमा अपग्रेड रणनीति
- 13. एसक्यूएल एज़ूर: अधिक इंटरमीटेंट टाइमआउट
- 14. एज़ूर स्टोरेज टेबल बनाम एसक्यूएल
- 15. एसक्यूएल एज़ूर और एज़ूर टेबल स्टोरेज की तुलना कैसे करें?
- 16. एज़ूर
- 17. सामान्य बनाम क्लाउड/एज़ूर होस्टिंग और एसक्यूएल एज़ूर बनाम एसक्यूएल सर्वर
- 18. एक्सएचटीएमएल अनुपालन व्यर्थ है?
- 19. उपयोगकर्ताओं ने एक एसक्यूएल एज़ूर भूमिका
- 20. एसक्यूएल एज़ूर डेटाबेस नामित पाइप्स त्रुटि
- 21. एसजेएलएमबरशिप दोनों एज़ूर और स्टैंडअलोन एसक्यूएल सर्वर
- 22. एसक्यूएल एज़ूर निर्यात डेटाबेस सर्वर के मालिक
- 23. एज़ूर
- 24. पीसीआई अनुपालन
- 25. स्क्रम अनुपालन
- 26. 508 अनुपालन
- 27. एज़ूर
- 28. विंडोज़ एज़ूर
- 29. एज़ूर स्टोरेज के साथ शुरू करना: ब्लॉब्स बनाम टेबल्स बनाम एसक्यूएल एज़ूर
कृपया ध्यान दें कि यह उत्तर है अब सटीक नहीं है। एमएस अज़ूर ने 10 जुलाई को मेरी निचली टिप्पणी के अनुसार पीसीआई-डीएसएस स्तर 1 अनुपालन हासिल किया है। –