Мы рады сообщить о том, что платформа Windows Azure прошла необходимые независимые проверки на соответствие стандартам Payment Card Industry (PCI) Data Security Standards (DSS). Аттестат соответствия был выдан независимым аттестованным экспертом (Qualified Security Assessor, QSA) по результатам аудита Windows Azure на соответствие стандартам безопасности PCI DSS 2.0 уровня Level 1. Для информирования клиентов о сертификации соответствующие документы Windows Azure PCI Attestation of Compliance и Windows Azure Customer PCI Guide опубликованы на официальном портале и доступны для загрузки.
Что такое PCI DSS?
Payment Card Industry (PCI) Data Security Standard (DSS) – это стандарт информационной безопасности разработанный для предотвращения неправомерных действий с кредитными картами через увеличение контроля над данными карт. Сертификация PCI является требованием для всех организаций (торговых или провайдеров платежных сервисов), которые занимаются процессингом транзакций кредитных карт.
Являясь облачным провайдером, Windows Azure напрямую не управляет окружением владельцев карт и исходя из этого не попадает под обязательную сертификацию PCI. Тем не менее, платформа Windows Azure была проверена и утверждена независимым аттестованным экспертом как платформа предлагающая безопасное окружение для торговцев, которые могут использовать ее для сертификации PCI на ней собственных решений.
О каких сервисах Windows Azure идет речь?
Система управления информационной безопасностью (Information Security Management System, ISMS) Windows Azure включая инфраструктуру, разработку, операции и поддержку для вычислений, хранения данных, сервисов приложений и сетевых сервисов включены в аттестацию соответствия PCI DSS. Этот перечень включает в себя все сервисы перечисленные на официальном портале http://www.windowsazure.com/. В аттестацию соответствия включены следующие ЦОДы Windows Azure: Asia Pacific East (Hong Kong), Asia Pacific Southeast (Singapore), Europe North (Ireland), Europe West (Netherlands), US North Central (Illinois), US South Central (Texas), US East (Virginia) и US West (California).
Продление сертификации ISO
Другой приятной новостью является успешное завершение очередного ежегодного аудита ISO/IEC 27001 Information Security. В этот раз, в дополнение к аудиту облачных сервисов Windows Azure (Cloud Services), хранилища (Storage), виртуальных машин и виртуальных сетей выполнен аудит на соответствие следующих сервисов: SQL Database, Active Directory, Traffic Manager, Web Sites, BizTalk Services, Media Services, Mobile Services, Service Bus, Multi-Factor Authentication и HDInsight (Hadoop как сервис). Соответствие ISO включает в себя аудит системы управления информационной безопасностью, инфраструктуры, разработки, операций и поддержки.
Trust Center: сертификаты и соответствие Windows Azure
Посетите специальный официальный портал Trust Center для того, чтобы узнать о всех сертификациях и соответствии стандартам и требованиям облачной платформы Windows Azure.
Список сертификаций и соответствий сегодня включает в себя:
- ISO/IEC 27001:2005 Audit and Certification
- SOC 1 and SOC 2 SSAE 16/ISAE 3402 Attestations
- Cloud Security Alliance Cloud Controls Matrix
- Federal Risk and Authorization Management Program (FedRAMP)
- Payment Card Industry (PCI) Data Security Standards (DSS) Level 1
- United Kingdom G-Cloud Impact Level 2 Accreditation
- HIPAA Business Associate Agreement (BAA)
В скором времени можно рассчитывать на обновление и расширение этого списка, в том числе в виде включения новейших сервисов платформы в существующие сертификации.
Для российской аудитории может быть интересен вопрос обработки персональных данных в рамках облачной платформы, материалы относительно этого можно найти на этой странице портала http://azurehub.ru и в этом докладе конференции Cloud OS Summit 2013.
