在Azure上托管符合PCI的应用程序

我想在Windows Azure上托管一个应用程序，该应用程序存储支付月费购买订阅的用户的信用卡信息。我只需要尽可能安全地存储卡数据（加密、salt、经常更新数据库密码、使用HTTPS等）

---

我相信我需要符合PCI标准才能存储此类信息。我的问题是Azure能让我做到这一点吗？我有什么选择？Azure上的应用程序能否处理信用卡付款？

Windows Azure当前不符合PCI。（可能是在未来，但不是现在-路线图）

编辑： Azure现在是1级兼容：windowsazure.com/en-us/support/trust-center/compliance

Microsoft Azure有一个信任中心页面，该页面解释了有关其安全性和法规遵从性的所有信息（我建议您在此处阅读更多有关它的信息，了解Azure有什么和没有什么）

---

您可以选择构建Azure应用程序，但可以让第三方（符合PCI）为您处理实际的信用卡处理，从而降低Azure上非PCI投诉应用程序的风险。

截至今天，Azure符合PCI DSS级别1

---

我对PCI合规性的理解意味着您现在可以在Azure上构建应用程序，并且应该能够获得PCI认证。仅仅构建应用程序并将其托管在Azure中并不能保证遵从性。

现在它是遵从性的。您可以访问以了解详细信息，还可以下载《Microsoft Azure客户PCI指南》。

它大体上符合法规要求。尝试使用相互通信且不使用公共IP空间的webapps和DB构建应用程序。以下是PCI-DSS中的一些问题

1.2构建防火墙和路由器配置，以限制不受信任网络与持卡人数据环境中任何系统组件之间的连接

1.2.1将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量

1.3.3互联网和持卡人数据环境之间的通信不允许任何直接的入站或出站连接

---

1.3.5应对持卡人数据环境的所有出站流量进行评估，以确保其遵守既定的授权规则。应检查连接，以将流量限制为仅授权的通信（例如，通过限制源/目标地址/端口和/或阻止内容）

Microsoft Azure PCI合规性认证（AoC）没有列出任何客户可以实际购买的服务。AoC认证以下服务：

Azure核心服务、Azure平台服务、Azure目录服务、数据处理、基础架构、操作

……但这些服务（至少是通过名称）是无法“购买”的

我已经整理了下面的博客文章，关于为什么像我这样有多年PCI DSS审计经验的QSA在Azure上存在问题：

---

Tim Holman，QSA，2秒…

我正在查看PayPal的Payments Pro协议，它希望我同意我符合PCI标准，因此，我不确定是否可以使用PayPal。我看到的唯一替代方法是Hyrbid方法，即信用卡信息存储在本地，然后由第三方使用标准安全（如SSL）进行处理，然后让应用程序的其他部分在Azure中运行。可能有其他方法，但Azure平台本身不符合PCI。如果你能接受支付网页，请访问Stripe.com。如果你按照设计使用他们的API，你不必遵守pci。有多个级别的pci合规性，只要你不打算存储信用卡数据，使用Azure就可以了。有推荐的第三方可以自动测试您的应用程序，以获得最低级别的PCI合规性，满足要求并不十分复杂。一旦您要保留客户的卡详细信息，您就需要在数据中心拥有自己的存储模块，带有访问控制和其他功能。根据他们的页面，它们现在符合1级标准：