{"id":852,"date":"2014-01-19T19:16:09","date_gmt":"2014-01-19T17:16:09","guid":{"rendered":"http:\/\/blog.patricksauer.net\/?p=852"},"modified":"2014-01-19T19:16:09","modified_gmt":"2014-01-19T17:16:09","slug":"microsofts-cloud-azure-pci-dss-und-die-kreditkartenspeicherung","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/pci-dss\/microsofts-cloud-azure-pci-dss-und-die-kreditkartenspeicherung\/","title":{"rendered":"Microsofts Cloud Azure, PCI DSS und die Kreditkartenspeicherung"},"content":{"rendered":"

Microsofts Cloud Azure wurde von dem Unternehmen Neohapsis PCI DSS zertifiziert, sodass sich Azure grunds\u00e4tzlich als Cloud f\u00fcr Kreditkartenzahlungsanwendungen verwenden l\u00e4sst. Die Nutzung einer PCI-Cloud entl\u00e4sst ein Unternehmen nicht aus der Pflicht sich selbst PCI zertifizieren zu lassen.\u00a0 Vielmehr werden die Anforderungen des PCI DSS zwischen dem Cloud-Anbieter und dem Cloud-Kunden geteilt. Im Gegensatz zu Amazon gibt Microsoft offen an, f\u00fcr welche Anforderungen sie zust\u00e4ndig sind: Link<\/a><\/p>\n

Manche Anforderungen gehen vollst\u00e4ndig an Microsoft \u00fcber, andere bleiben komplett beim Kunden. In einem Bereich sehe ich in der Praxis Umsetzungsschwierigkeiten: M\u00f6chte der Kunde Kreditkartendaten speichern, muss er sich um die Anforderung 3\u00a0 und deren Unteranforderungen nahezu komplett selbst k\u00fcmmern. Das aufwendige und komplizierte Thema Verschl\u00fcsselung inklusive dem notwendigen Key Management bleibt beim Kunden. In wie Weit die Nutzung von HSMs (Hardware Security Modules)\u00a0 bei Azure m\u00f6glich ist, darf bezweifelt werden. Bleibt nur der Einsatz manueller Klartext-Keymanagementverfahren\u00a0 oder das Outsourcing der Speicherung der Kreditkartendaten an einen anderen Dienstleister. Beides ist meiner Meinung nach suboptimal.<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsofts Cloud Azure wurde von dem Unternehmen Neohapsis PCI DSS zertifiziert, sodass sich Azure grunds\u00e4tzlich als Cloud f\u00fcr Kreditkartenzahlungsanwendungen verwenden l\u00e4sst. Die Nutzung einer PCI-Cloud entl\u00e4sst ein Unternehmen nicht aus der Pflicht sich selbst PCI zertifizieren zu lassen.\u00a0 Vielmehr werden die Anforderungen des PCI DSS zwischen dem Cloud-Anbieter und dem Cloud-Kunden geteilt. Im Gegensatz zu … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[93,171,96,97,95,94],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-852","6":"format-standard","7":"category-pci-dss","8":"post_tag-azure","9":"post_tag-cloud","10":"post_tag-hsm","11":"post_tag-key-management","12":"post_tag-kreditkartenspeicherung","13":"post_tag-neohapsis"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=852"}],"version-history":[{"count":7,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/852\/revisions"}],"predecessor-version":[{"id":859,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/852\/revisions\/859"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}