1. घर
  2. सवाल और जवाब
  3. एसक्यूएल एज़ूर पीसीआई-डीएसएस अनुपालन है?

एसक्यूएल एज़ूर पीसीआई-डीएसएस अनुपालन है?

2010-08-01 11 views
16

यदि मैं अलग-अलग विंडोज सर्वर का उपयोग करना चाहता था जो पीसीआई-डीएसएस अनुपालन था, तो क्या मैं अभी भी अनुपालन करता हूं अगर मेरे पास बैकएंड होस्ट करने वाला SQL Azure था? यह माना जा रहा है कि मैं एप्लिकेशन लेयर पर अनुपालन कर रहा हूं, और मैं केवल अनुमति मानों (जैसे सीवीवी), आदि को संग्रहीत कर रहा हूं,एसक्यूएल एज़ूर पीसीआई-डीएसएस अनुपालन है?

स्रोत

2010-08-01 jchapa

उत्तर

14

एडब्ल्यूएस अब PCI DSS 2.0 स्तर 1 का अनुपालन करता है, तो मान्यताओं कि स्तर 1 एक बादल विक्रेता द्वारा प्राप्त नहीं है सही नहीं है:

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

इसके अलावा, रैकस्पेस भी हासिल किया है पीसीआई स्तर 1 अनुपालन:

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

यह कि माइक्रोसॉफ्ट अभी तक विंडोज Azure के लिए PCI अनुपालन हासिल नहीं किया गया है सच है।

ऐसा लगता है कि वे विंडोज़ एज़ूर में किसी भी सीमा को संबोधित करने के लिए सक्रिय रूप से काम कर रहे हैं ताकि वे भी इस सेवा को अपने ग्राहकों को प्रदान कर सकें और प्रतिस्पर्धी बने रह सकें, लेकिन आज तक उन्होंने अभी तक पीसीआई अनुपालन हासिल नहीं किया है।

स्रोत

2011-04-20 03:37:05 Erik

+1

कृपया ध्यान दें कि यह उत्तर है अब सटीक नहीं है। एमएस अज़ूर ने 10 जुलाई को मेरी निचली टिप्पणी के अनुसार पीसीआई-डीएसएस स्तर 1 अनुपालन हासिल किया है। –

2

पीसीआई डीएसएस के साथ यह याद रखना महत्वपूर्ण है कि यह केवल भंडारण के बारे में नहीं है, यह "स्टोर, प्रक्रिया, या संचारित है।" यदि इनमें से कोई भी क्लाउड में या उसके माध्यम से होता है तो क्लाउड आपके कार्डधारक डेटा वातावरण का हिस्सा बन जाता है, इस प्रकार पीसीआई अनुपालन के दायरे में। चूंकि यह एक क्लाउड है जिसे आप नियंत्रित नहीं करते हैं, अनुपालन को सत्यापित करने का कोई तरीका नहीं होगा।

कोई सत्यापन नहीं, कोई अनुपालन नहीं। माफ़ कीजिये।

स्रोत

2010-08-01 04:03:55 Gene

+2

क्या प्रदाता अनुपालन की पुष्टि करता है, तो क्या इसे नियंत्रण की आवश्यकता है? मान लें कि आप किसी तृतीय पक्ष होस्टिंग प्रदाता (क्लाउड या भौतिक) का उपयोग करते हैं। अगर वे पीसीआई मानकों के अनुरूप हैं, और स्कैन पास कर सकते हैं, तो इसका वैध, सही? मुझे पूरा यकीन है कि आपको अनुपालन करने के लिए सर्वर का स्वामित्व नहीं है ... – jchapa

1

अमेज़ॅन ने PCI DSS Level 1 compliance on Dec 07, 2010 की घोषणा की। मेरा जवाब अब गलत है।

http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/ देखें। अमेज़ॅन का कहना है कि आप अपने बुनियादी ढांचे पर पीसीआई-डीएसएस स्तर 1 अनुपालन प्राप्त नहीं कर सकते हैं। महत्वपूर्ण लाइनें हैं -

यह संभव है आप हमारी एडब्ल्यूएस बादल EC2 और S3 का उपयोग करने में एक पीसीआई स्तर 2 अनुरूप एप्लिकेशन के निर्माण के लिए है, लेकिन आप को प्राप्त नहीं कर सकते हैं स्तर 1 अनुपालन के लिए। यदि आप में डेटा उल्लंघन है, तो आप स्वचालित रूप से स्तर 1 अनुपालन बनने की आवश्यकता है जो ऑन-साइट ऑडिटिंग की आवश्यकता है; वह है जिसे हम अपने ग्राहकों तक नहीं बढ़ा सकते हैं।

मैंने Azure के दस्तावेज़ों को नहीं पढ़ा है, लेकिन मुझे पूरा यकीन है कि वे ऑन-साइट ऑडिटिंग की अनुमति नहीं देते हैं। यह देखते हुए, वही निष्कर्ष माइक्रोसॉफ्ट एज़ूर पर भी लागू होंगे।

स्रोत

2010-08-02 16:35:47

+0

सहायता के लिए धन्यवाद। – jchapa

+0

पीसीआई डीएसएस के तहत प्रत्येक व्यापारी स्तर को समान दायित्वों को पूरा करना होगा। स्तरों में एकमात्र अंतर सालाना मूल्यांकन (एसएचक्यू) के लिए आवश्यक प्रमाण/लेखा परीक्षा की मात्रा में है। स्तर 4 के लिए, यह बहुत ईमानदारी प्रणाली है। स्तर 1 के लिए, आपको एक क्यूएसए द्वारा पूर्ण लेखा परीक्षा लेनी होगी, जहां वे भौतिक रूप से सब कुछ निरीक्षण करते हैं। हालांकि, दोनों मामलों के लिए, व्यापारी/सेवा प्रदाता को अभी भी पीसीआई डीएसएस के सभी 12 अंकों का पालन करना है। दूसरे शब्दों में - अगर अमेज़ॅन कहता है कि आप पीसीआई डीएसएस 'स्तर 1' अनुपालन नहीं कर सकते हैं, तो आप पीसीआई डीएसएस अनुपालन, अवधि नहीं हो सकते हैं। – Mike

+0

उस ब्लॉग के अधिकार के बारे में निश्चित नहीं है, लेकिन आधिकारिक अमेज़ॅन अकसर किये गए सवाल यह कहते हैं: "व्यापारी जो एडब्ल्यूएस आधारभूत संरचना पर क्रेडिट कार्ड डेटा को संसाधित करते हैं, स्टोर करते हैं, और/या संचारित करते हैं, वे स्तर 1 व्यापारियों सहित पीसीआई अनुपालन कर सकते हैं।" http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/ –

3

Azure में पीसीआई-डीएसएस अनुपालन स्थिति के बारे में सुनिश्चित नहीं है, लेकिन मुझे पता चलेगा कि Azure और EC2S3 एक ही जानवर नहीं हैं। Azure एक पूरी तरह से होस्टेड इंफ्रास्ट्रक्चर है जो अनुप्रयोग लेखकों को पूरी तरह से प्रबंधित और निगरानी (ऑन-प्रिमाइज़ सर्वर उत्पाद के लिए सामान्य सुरक्षा संरचनाओं सहित) पर बैठने की क्षमता प्रदान करने के लिए सेवाओं और अंतराल का खुलासा करता है, और इन सेवाओं को निवासी अनुप्रयोगों में विस्तारित करता है ।

माइक्रोसॉफ्ट ने पीसीआई लोगों (Vista पर) के साथ बिताए गए समय को ध्यान में रखते हुए, मुझे आश्चर्य होगा कि पीसीआई-डीएसएस अनुपालन अनुप्रयोग विंडोज़ एज़ूर तक विस्तारित होने पर प्रमाणन का स्तर बनाए रखेगा।

उम्मीद है कि इससे मदद मिलती है। उद्देश्य ईसी 2 एस 3 को टक्कर नहीं देना था, यह Azure पर ब्लैक्स भरने के लिए और अधिक था।

श्री हेल्पर :-)

स्रोत

2010-09-01 02:59:04

+0

टिप्पणियों के लिए धन्यवाद। +1 – jchapa

11

माइक्रोसॉफ्ट Azure सवाल जवाब में लिखते हैं:

वाणिज्यिक शुरुआत के समय इन विंडोज Azure विशिष्ट लेखा परीक्षा या सुरक्षा प्रमाणपत्र की जरूरत नहीं होगी। आप उम्मीद कर सकते हैं कि निकट भविष्य में आईएसओ 27001 जैसे महत्वपूर्ण प्रमाणपत्रों का पीछा करें। विंडोज एज़ूर प्लेटफ़ॉर्म और विंडोज़ एज़ूर सुरक्षा विकास लाइफसाइक्ल (एसडीएल) प्रक्रिया में शामिल कठोर सुरक्षा प्रथाओं को लागू करते हैं। एसडीएल जल्दी और विकास प्रक्रिया के दौरान सुरक्षा और गोपनीयता पेश करता है। विंडोज़ एज़ूर प्लेटफॉर्म और विंडोज एज़ूर को माइक्रोसॉफ्ट ग्लोबल फाउंडेशन सर्विसेज (जीएफएस) इंफ्रास्ट्रक्चर द्वारा प्रदान की जाने वाली सुरक्षा क्षमताओं से भी फायदा होता है। जीएफएस आश्वासन नियमित आधार पर बाह्य लेखा परीक्षकों द्वारा मान्य किए जाते हैं और एक व्यापक सुरक्षा कार्यक्रम शामिल करते हैं जो पूरे वितरण ढेर को कवर करता है।

माइक्रोसॉफ्ट तीसरे पक्ष की मेजबानी के लिए पीसीआई मानकों के संबंध में कोई दावा नहीं करता है। क्लाउड आधारित अनुप्रयोगों को तृतीय पक्ष पीसीआई डेटा प्रोसेसर का उपयोग करने के तरीके विकसित करने के तरीके हैं जो क्लाउड एप्लिकेशन को दायरे से बाहर रख सकते हैं।

http://www.microsoft.com/windowsazure/faq/default.aspx

"लाइसेंसिंग और सेवा स्तर समझौतों" ड्रॉप में चयन नीचे तो अंतिम अनुच्छेद "क्या उद्योग लेखा परीक्षा और सुरक्षा प्रमाणपत्र विंडोज Azure मंच को कवर? विशेष रूप से, SAS70, आईएसओ पर स्थिति कॉल लगता है 27001, और पीसीआई? "

स्रोत

2010-09-30 10:44:28 Erwin

+1

यह सुनिश्चित नहीं है कि आपने सुरक्षा ब्रीफिंग देखी है लेकिन ऐसा लगता है कि माइक्रोसॉफ्ट डेटा सेंटर जनवरी 2012 के अनुसार पीसीआई अनुपालन कर रहे हैं: http://cdn.globalfoundationservices.com/documents/Strategy_Brief_Securing_Cloud_Infrastructure.pdf –

1

लगता एडब्ल्यूएस और रैकस्पेस की तरह दोनों अनुपालन (http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/, http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/) के कुछ स्तर हासिल किया है, लेकिन वैश्विक फाउंडेशन सर्विसेज (माइक्रोसॉफ्ट विंडोज/एसक्यूएल एज़ूर, सीडीएन, आदि के पीछे बुनियादी ढांचा) (http://www.globalfoundationservices.com/security/) नहीं है। मैं यह देखकर आश्चर्यचकित नहीं होगा कि जीएफएस निकट भविष्य में कुछ मान्यता प्राप्त करता है।

स्रोत

2011-04-25 18:03:28

3

इस प्रश्न पर बस एक अपडेट।

जैसा कि वर्तमान में है, विंडोज़ एज़ूर वास्तव में पीसीआई डीएसएस स्तर 1 अनुपालन है। अधिक जानकारी के लिए निम्न Windows Azure ट्रस्ट सेंटर आलेख देखें: Windows Azure Trust Center - Compliance

स्रोत

2014-07-10 13:32:28

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे