Azure

Question

पर एक पीसीआई अनुपालन ऐप को होस्ट करना मैं विंडोज़ एज़ूर पर एक एप्लिकेशन होस्ट करना चाहता हूं जो मासिक शुल्क के लिए सदस्यता खरीदने के लिए भुगतान करने वाले उपयोगकर्ताओं की क्रेडिट कार्ड जानकारी संग्रहीत करता है। मुझे कार्ड डेटा को जितना संभव हो सके सुरक्षित रूप से स्टोर करना होगा (एन्क्रिप्ट, नमक, अद्यतन डेटाबेस पासवर्ड अक्सर, HTTPS का उपयोग करें, और इसी तरह)

मुझे विश्वास है कि मुझे इस तरह के स्टोर करने में सक्षम होने के लिए पीसीआई अनुपालन करने की आवश्यकता है जानकारी की। मेरा सवाल यह है कि Azure मुझे यह प्राप्त करने की अनुमति दे सकता है? मेरे विकल्प क्या हैं? Azure प्रक्रिया क्रेडिट कार्ड भुगतान पर एक आवेदन कर सकते हैं?

Answer 1

विंडोज़ एज़ूर वर्तमान में पीसीआई अनुपालन नहीं है। (यह भविष्य में हो सकता है लेकिन नहीं अब कर सकते हैं - रोडमैप)

संपादित करें: Azure अब स्तर -1 अनुरूप है: windowsazure.com/en-us/support/trust-center/compliance

विंडोज अज़ूर का एक ट्रस्ट सेंटर पृष्ठ है जो इसकी सुरक्षा और अनुपालन के बारे में बताता है (मेरा सुझाव है कि आप इसके बारे में और अधिक जानकारी दें कि एज़ूर के पास क्या है और नहीं है) https://www.windowsazure.com/en-us/support/trust-center/

आपके पास विकल्प हैं जहां आप Azure एप्लिकेशन बना सकते हैं लेकिन तीसरे पार्टी (पीसीआई अनुपालन) आपके लिए वास्तविक क्रेडिट कार्ड प्रसंस्करण को संभालती है, इस प्रकार अज़ूर पर गैर-पीसीआई शिकायत आवेदन के आपके जोखिम को कम करता है ई।

Answer 2

आज के रूप में Azure पीसीआई डीएसएस स्तर 1 अनुपालन है।

http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx

https://www.windowsazure.com/en-us/support/trust-center/compliance/

PCI अनुपालन की मेरी समझ मतलब है कि आप अब Azure पर अनुप्रयोगों के निर्माण के लिए अनुमति दी जाती है और उन्हें रूप में अच्छी तरह प्रमाणित पीसीआई प्राप्त करने में सक्षम होना चाहिए। बस एक ऐप बनाना और इसे Azure में होस्ट करना अनुपालन की गारंटी नहीं देता है।

Answer 3

अब यह अनुपालनशील है। आप विवरण के लिए the Windows Asure compliance page पर जा सकते हैं और विंडोज़ एज़ूर ग्राहक पीसीआई गाइड भी डाउनलोड कर सकते हैं।

Answer 4

यह व्यापक शर्तों में अनुपालन करता है। वेबपैप्स और डीबी का उपयोग करके ऐप बनाने का प्रयास करें जो एक-दूसरे से संवाद करते हैं और सार्वजनिक आईपी स्पेस का उपयोग नहीं करते हैं। पीसीआई-डीएसएस में कुछ मुद्दे यहां दिए गए हैं।

1.2 बिल्ड फ़ायरवॉल और रूटर विन्यास अविश्वसनीय नेटवर्क और कार्डधारक डेटा पर्यावरण

1.2.1 कि करने के लिए इनबाउंड और आउटबाउंड यातायात जो कार्डधारक डेटा पर्यावरण के लिए आवश्यक है प्रतिबंधित, और विशेष रूप में किसी भी प्रणाली घटकों के बीच कनेक्शन को प्रतिबंधित अन्य सभी यातायात से इनकार करते हैं।

1.3.3 इंटरनेट और कार्डधारक डेटा वातावरण के बीच यातायात के लिए किसी भी प्रत्यक्ष कनेक्शन इनबाउंड या आउटबाउंड की अनुमति न दें।

1.3.5 कार्डधारक डेटा पर्यावरण से सभी ट्रैफ़िक आउटबाउंड का मूल्यांकन यह सुनिश्चित करने के लिए किया जाना चाहिए कि यह स्थापित, अधिकृत नियमों का पालन करता है। यातायात को केवल अधिकृत संचार (या उदाहरण के लिए स्रोत/गंतव्य पते/बंदरगाहों को प्रतिबंधित करके, और/या सामग्री को अवरुद्ध करके) प्रतिबंधित करने के लिए कनेक्शन का निरीक्षण किया जाना चाहिए।

Answer 5

विंडोज एज़ूर पीसीआई अनुपालन का अनुपालन (एओसी) ऐसी सेवाओं की सूची नहीं देता है जो ग्राहक वास्तव में बाहर जा सकते हैं और खरीद सकते हैं।एओसी निम्नलिखित सेवाओं को प्रमाणित करता है:

एज़ूर कोर सर्विसेज, एज़ूर प्लेटफार्म सर्विसेज, एज़ूर डायरेक्टरी सर्विसेज, डाटा प्रोसेसिंग, इंफ्रास्ट्रक्चर, ऑपरेशंस।

... लेकिन इन सेवाओं (कम से कम नाम से, वैसे भी), "खरीदा नहीं जा सकता"।

मैं एक साथ निम्न ब्लॉग लेख डाल दिया है के रूप में क्यों कई वर्षों PCI DSS लेखा परीक्षा अनुभव के साथ एक QSA जैसे अपने आप को, Azure से कोई समस्या है करने के लिए,:,

https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/

टिम होल्मन, QSA 2-सेकंड ...