security - SQL Azure PCI-DSSに準拠していますか？

Question

PCI-DSSに準拠した別のWindowsServerを使用する場合、バックエンドをホストするSQL Azureがあれば、引き続き準拠しますか？これは、私がアプリケーション層に準拠しており、許可された値（CVVがないなど）のみを保存していることを前提としています。

Answer 1

AWSは現在PCIDSS2.0レベル1に準拠しているため、クラウドベンダーがレベル1を達成できないという仮定は正しくありません。

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

さらに、RackspaceはPCIレベル1への準拠も達成しています。

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

MicrosoftがWindowsAzureのPCI準拠をまだ達成していないのは事実です。

Windows Azureの制限に積極的に取り組み、顧客にこのサービスを提供して競争力を維持できるようにしている可能性がありますが、現在のところ、PCIコンプライアンスはまだ達成されていません。

Answer 2

MicrosoftはAzureFAQに次のように書いています。

商用リリース時には、WindowsAzureには特定の監査またはセキュリティ認定はありません。近い将来、ISO27001などの主要な認証を取得することが期待できます。WindowsAzureプラットフォームとWindowsAzureは、セキュリティ開発ライフサイクル（SDL）プロセスに組み込まれている厳格なセキュリティプラクティスを適用します。SDLは、開発プロセスの初期および全体を通じてセキュリティとプライバシーを導入します。WindowsAzureプラットフォームとWindowsAzureは、Microsoft Global Foundation Services（GFS）インフラストラクチャによって提供されるセキュリティ機能の恩恵も受けています。GFSの保証は、外部監査人によって定期的に検証され、配信スタック全体をカバーする包括的なセキュリティプログラムが含まれています。

マイクロソフトは、サードパーティホスティングのPCI標準に関しては何も主張しません。クラウドベースのアプリケーションを開発して、クラウドアプリケーション自体を範囲外に保つ可能性のあるサードパーティのPCIデータプロセッサを使用する方法があります。

http://www.microsoft.com/windowsazure/faq/default.aspx

ドロップダウンで[ライセンスとサービスレベル契約]を選択し、最後の段落「Windows Azureプラットフォームを対象とする業界の監査とセキュリティの認定は何ですか？具体的には、SAS70、ISO 27001、およびPCIの位置を呼び出しますか？」を見つけます。

Answer 3

AzureでのPCI-DSSコンプライアンスのステータスはわかりませんが、AzureとEC2S3は同じ動物ではないことに注意してください。Azureは完全にホストされたインフラストラクチャであり、サービスとエンドポイントを公開して、アプリケーションライターが完全に管理および監視された（オンプレミスサーバー製品に配置されている一般的なセキュリティ構造を含む）プラットフォームに座り、これらのサービスを常駐アプリケーションに拡張できるようにします。 。

MicrosoftがPCIの人々と（Vista以降）費やした時間を考えると、PCI-DSS準拠のアプリケーションがWindows Azureに拡張されたときに、その認定レベルを維持しなかった場合、私は非常に驚きます。

お役に立てれば。目的はEC2S3をbashすることではなく、Azureの問題を埋めることでした。

ヘルパーさん:-)

Answer 4

この質問の更新です。

現在のところ、WindowsAzureは確かにPCIDSSレベル1に準拠しています。詳細については、次のWindows AzureTrustCenterの記事を参照してください 。WindowsAzureTrustCenter-コンプライアンス

Answer 5

PCI DSSでは、保存だけでなく、「保存、処理、または送信」であることを覚えておくことが重要です。これらのいずれかがクラウド内またはクラウドを介して発生した場合、クラウドはカード会員データ環境の一部になり、PCI準拠の範囲になります。制御できないクラウドであるため、コンプライアンスを確認する方法はありません。

検証もコンプライアンスもありません。ごめん。

Answer 6

Amazonは、2010年12月7日にPCIDSSレベル1への準拠を発表しました。以下の私の答えは正しくありません。

http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/ を参照してください。Amazonによると、インフラストラクチャでPCI-DSSレベル1コンプライアンスを達成することはできません。重要な行は-

EC2とS3を使用してAWSクラウドでPCIレベル2準拠のアプリを構築することは可能ですが、レベル1準拠を達成することはできません。データ漏えいが発生した場合は、自動的にレベル1に準拠する必要があり、オンサイト監査が必要です。それは私たちがお客様に拡張できないものです。

Azureのドキュメントを読んだことはありませんが、オンサイト監査が許可されていないことは間違いありません。それを考えると、同じ結論がMicrosoftAzureにも当てはまります。

Answer 7

AWSとRackspaceはどちらもある程度のコンプライアンスを達成しているようです（http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/、http://www.rackspace.co.uk/ Rackspace-home / media-centre / news / article / article / Rackspace-enhances-security-with-pci-accreditation /）が、Global Foundation Services（Microsoft Windows / SQL Azure、CDNなどの背後にあるインフラストラクチャ）にはありません（http ：//www.globalfoundationservices.com/security/）。ただし、GFSが近い将来にある程度の認定を取得することは驚くことではありません。