Действительно ли PCI-DSS Azure SQL совместим?
Если бы я должен был использовать Сервер отдельных окон, который был совместимым PCI-DSS, то я все еще был бы совместим, если бы у меня была Azure SQL, размещающая бэкенд? Это предполагает, что я совместим на прикладном уровне, и что я только храню разрешенные значения (как никакой CVV) и т.д.
2 ответа
В PCI DSS важно помнить, что речь идет не просто о хранении, а о "хранении, обработке или передаче". Если что-то из этого происходит в облаке или через него, то облако становится частью вашей среды данных о держателях карт и, следовательно, попадает в сферу действия стандарта PCI. Поскольку это облако, которое вы не контролируете, нет возможности проверить соответствие требованиям.
Нет проверки - нет соответствия. Извините.
Amazon объявил PCI Соответствие DSS Уровню 1 7 декабря 2010 г. . Мой ответ ниже теперь неверен.
См. http://www.mckeay.net/2009/08/14/cannot-achieve-pci-compliance-with-amazon-ec2s3/ . Amazon заявляет, что их инфраструктура не может обеспечить соответствие PCI-DSS уровня 1. Важные строки:
Вы можете построить PCI приложение уровня 2 в нашем облаке AWS используя EC2 и S3, но вы не можете достичь уровня соответствия 1. если ты есть утечка данных, вы автоматически должны соответствовать уровню 1, что требуется выездной аудит; это то, что мы не можем распространить на наши клиенты.
Я не читал документацию по Azure, но почти уверен, что они не позволяют проводить аудит на месте. Учитывая это, те же выводы применимы и к Microsoft Azure.