SQL Azure PCI-DSS是否兼容？

Question

如果我使用与PCI-DSS兼容的单独的Windows Server，如果我有一个托管后端的SQL Azure，我还会遵守吗？这是假设我在应用层是兼容的，并且我只存储允许的值(比如没有CVV)，等等。

Answer 1

AWS现在符合PCI DSS 2.0 Level 1，因此云供应商无法实现Level 1的假设是不正确的：

http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/

此外，Rackspace还实现了PCI级别1合规性：

http://www.rackspace.co.uk/rackspace-home/media-centre/news/article/article/rackspace-enhances-security-with-pci-accreditation/

确实，Microsoft尚未实现Windows Azure的PCI合规性。

他们很可能正在积极解决Windows Azure中的任何限制，以便他们也能够向客户提供此服务并保持竞争力，但截至今天，他们尚未实现PCI合规性。

Answer 2

微软在Azure常见问题解答中写道：

在商业发布时，Windows Azure将不会有特定的审计或安全认证。您可以期待在不久的将来看到我们获得关键认证，例如ISO27001。Windows Azure Platform和Windows Azure应用安全开发生命周期(SDL)流程中包含的严格安全实践。SDL在开发过程中很早就引入了安全性和隐私性。Windows Azure平台和Windows Azure还受益于Microsoft Global Foundation Services (GFS)基础设施提供的安全功能。GFS保证由外部审计人员定期验证，并包括覆盖整个交付堆栈的全面安全计划。

微软没有关于第三方托管的PCI标准的声明。有一些方法可以开发基于云的应用程序，以使用第三方PCI数据处理器，这可能会将云应用程序本身排除在范围之外。

http://www.microsoft.com/windowsazure/faq/default.aspx

在下拉列表中选择“许可和服务级别协议”，然后找到最后一段“哪些行业审核和安全认证涵盖Windows Azure平台?具体而言，请注意SAS70、ISO 27001和PCI?”

Answer 3

不确定在Azure中的PCI-DSS遵从性状态，但我会注意到Azure和EC2S3是不同的动物。Azure是一个完全托管的基础设施，它公开了服务和端点，为应用程序编写者提供了在完全托管和监控(包括本地服务器产品的典型安全构造)平台上的能力，并将这些服务扩展到驻留的应用程序。

考虑到微软与PCI人员(从Vista开始)在一起的时间，如果一个符合PCI-DSS的应用程序在扩展到Windows Azure时不能保持其认证级别，我将非常惊讶。

希望这能有所帮助。这样做的目的不是猛烈抨击EC2S3，它更多的是为了填补Azure的污点。

帮手先生:-)