月額料金でサブスクリプションを購入するユーザーのクレジット カード情報を格納するアプリケーションを Windows Azure でホストしたいと考えています。カードデータをできるだけ安全に保存する必要があるだけです(暗号化、ソルト、データベースパスワードの頻繁な更新、HTTPS の使用など)。
この種の情報を保存できるようにするには、PCI に準拠する必要があると思います。私の質問は、Azure でこれを達成できるかどうかです。私のオプションは何ですか?Azure 上のアプリケーションでクレジット カードの支払いを処理できますか?
Windows Azure は現在、PCI に準拠していません。(将来的には可能ですが、現在ではありません - ロードマップ)
編集: Azure はレベル 1 に準拠しました: windowsazure.com/en-us/support/trust-center/compliance
Windows Azure には、そのセキュリティとコンプライアンスに関するすべてを説明するトラスト センターのページがあります (Azure にあるものとないものについては、こちらで詳しく読むことをお勧めします) https://www.windowsazure.com/en-us/support/trust -中心/
Azure アプリケーションを構築し、サード パーティ (PCI 準拠) に実際のクレジット カード処理を任せることができるオプションがあります。これにより、Azure での非 PCI 準拠アプリケーションのリスクを軽減できます。
これで準拠しました。詳細については、Windows Asure コンプライアンス ページにアクセスし、Windows Azure カスタマー PCI ガイドをダウンロードすることもできます。
Windows Azure PCI Attestation of Compliance (AoC) には、顧客が実際に購入できるサービスは記載されていません。AoC は、次のサービスを認定しています。
Azure コア サービス、Azure プラットフォーム サービス、Azure ディレクトリ サービス、データ処理、インフラストラクチャ、運用。
...しかし、これらのサービスは (少なくとも名前だけでは) 「購入」できません。
PCI DSS 監査の経験が数年ある私のような QSA が Azure で問題を抱えている理由について、次のブログ記事をまとめました。
https://www.2-sec.com/2015/11/19/is-microsoft-azure-pci-dss-compliant-lessons-in-due-diligence/
Tim Holman、QSA、2 秒...