- PVSM.RU - https://www.pvsm.ru -
Часть компаний, деятельность которых связана с обработкой данных платежных карт клиентов, прибегают к услуге PCI DSS
Поскольку все больше компаний обращают внимание на PCI DSS Compliant Hosting, мы хотим поговорить о деталях предоставления этого типа услуги.
Стандарт PCI DSS увидел [7] свет в 2005 году с целью привести требования международных платежных систем к общему знаменателю в вопросах обеспечения безопасности данных держателей карт. С середины 2012 года все организации (включая российские компании), вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS.
Определение необходимости соответствия стандарту PCI DSS
Чтобы понять, нужно ли компании проходить [8] аудит на соответствие PCI DSS, нужно ответить на два вопроса:
Если на оба этих вопроса вы дали отрицательный ответ, то сертифицироваться по PCI DSS не нужно, иначе требования стандарта становятся обязательными для организации. Отметим, что стандарт состоит из двенадцати разделов и содержит около четырехсот требований безопасности, предъявляемых к обработке данных.
Мы в компании «ИТ-ГРАД» провели исследование рынка и оценили [9] возможные варианты предоставления сервиса PCI DSS различными компаниями. В результате было установлено, что самыми популярными подклассами PCI DSS
Отметим, что при выборе провайдера стоит обращать внимание на прописанные границы предоставления услуг, которые у российских поставщиков чаще сводятся к размещению оборудования в машинных залах дата-центров. Это означает, что провайдер предоставляет услугу Colocation и выполняет требования по обеспечению исключительно физической безопасности согласно PCI DSS.
Если говорить о зарубежных хостинг-площадках, то здесь провайдеры чаще всего предлагают услугу IaaS Basic. В этом случае заказчик сам выполняет регулируемые стандартом процедуры, а поставщик настраивает пограничные брандмауэры, маршрутизаторы, системы виртуализации и другие компоненты.
Не меньшей популярностью пользуется услуга IaaS Advanced, когда клиент получает максимально защищенное облако по принципу «все включено». Заказчик просто размещает в облаке бизнес-приложения, а большая часть требований PCI DSS «закрывается» провайдером.
Что касается компании «ИТ-ГРАД», то мы предоставляем услугу сертифицированного облачного PCI DSS
Услуга размещения оборудования в ЦОД требует соблюдения установленных норм безопасности. В этом случае используются средства контроля и управления доступом в дата-центр, где в обязательном порядке присутствуют системы видеонаблюдения и системы идентификации личности сотрудников. Все размещаемое оборудование располагается в запираемых стойках, доступ к которым регламентирован. При этом поставщик отвечает за регулярное проведение инвентаризации и проверку работоспособности устройств, используемых в инфраструктуре. Это является одним из обязательных требований стандарта PCI DSS.
При предоставлении услуги IaaS Basic обязанности поставщика и клиента разделяются согласно установленной матрице ответственности сторон. Поставщик отвечает за отдельные компоненты инфраструктуры клиента и выполняет настройки в соответствии с разработанными стандартами безопасного конфигурирования и с учетом требований PCI DSS.
Распределение зон ответственности может выполняться по-разному. В качестве примера рассмотрим, как это устроено в компании «ИТ-ГРАД». Так как в нашей инфраструктуре используется Web Application Firewall, приложения, размещаемые клиентом в облаке, можно пропускать через него, снимая часть требований по защите приложений.
При этом «ИТ-ГРАД» регулярно следит за появлением новых уязвимостей, выполняя шестое требование стандарта PCI DSS по обновлению систем и ранжированию рисков. Также внедрен процесс управления изменениями, когда корректировки в рабочую систему вносятся только после одобрения специального комитета. Такой подход позволяет избежать случайных ошибок.
Помимо этого, сотрудники провайдера осуществляют контроль доступа к сетевым ресурсам, а также мониторят события ИС в режиме 24 / 7 / 365, чтобы в случае возникновения инцидента быстро среагировать.
Инфраструктура как сервис в формате Advanced — это решение под ключ, когда клиент лишь разрабатывает и поддерживает безопасные приложения, а все остальные задачи, будь то настройка компонентов, экранирование, ограничение доступов или шифрование каналов и другие реализуются силами облачного провайдера.
Для предоставления услуги IaaS Advanced поставщик обязан соблюдать определённые требования и применять соответствующие технологические решения. Рассмотрим несколько из них на примере компании «ИТ-ГРАД».
Технологические решения для услуги IaaS Advanced
Первое требование — двухфакторная аутентификация (Dual Factor Authentication). Например, в инфраструктуре «ИТ-ГРАД» применяется OTP-сервер, генерирующий одноразовые токены, с помощью которых пользователи выполняют VPN-подключение с пробросом в зону DMZ, где размещается узел управления и администрирования. Подключение к этому узлу позволяет выполнять административные задачи и обращаться к отдельным компонентам инфраструктуры.
Второе требование — это сетевой фаервол, разграничивающий сети на зоны. В этом случае мы следуем принципу «что не разрешено, то запрещено». Также в инфраструктуре провайдера используется система Palo Alto, оснащенная функцией IPS/IDS, чтобы выявлять ситуации неавторизованного доступа и принимать меры для устранения возникающих угроз. Еще здесь часто используется централизованный сервер антивирусной защиты с установленными агентами на хостах заказчика. Это позволяет при обнаружении сообщений о вирусах оперативно формировать инциденты и организовывать почтовую рассылку с последующей реакцией CM-системы на фиксируемое событие.
Еще одним требованием является обеспечение контроля целостности файлов приложений (File Integrity Monitor). В случае внесения изменений меняется контрольная сумма, что становится поводом автоматического создания инцидента. Кроме того, FIM следит и за критичными файлами ОС Windows и Linux. В рамках работы с целостностью файлов также проводится ежедневное создание снимков виртуальных машин, чтобы можно было «откатиться» до исходного рабочего состояния в случае нештатной ситуации.
Таким образом, пользуясь услугой PCI DSS хостинга [13], клиент получает [14] ряд преимуществ, в том числе экономию средств и гарантию быстрого старта проекта. Такой подход упрощает выполнение требований стандарта и прохождение аудита и дает возможность сосредоточиться на профильном развитии бизнеса.
Напоследок хотелось бы отметить, что компания, предлагающая услугу
Автор: it_man
Источник [15]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/sertifikatsiya/258298
Ссылки в тексте:
[1] хостинга: https://www.reg.ru/?rlink=reflink-717
[2] управляет: http://iaas-blog.it-grad.ru/первый-российский-проект-c-сертифицированным-iaas-и-управляемыми-сервисами-рфи-банк-использует-pci-dss-compliant-hosting-в-iaas-облаке-ит-град
[3] IaaS: http://www.it-grad.ru/iaas/iaas-vmware/virtual-infrastructure/
[4] Image: https://habrahabr.ru/company/it-grad/blog/330578/
[5] kuhnmi: https://www.flickr.com/photos/31176607@N05/34684294971/
[6] CC: https://creativecommons.org/licenses/by/2.0/
[7] увидел: https://meraki.cisco.com/lib/pdf/meraki_whitepaper_PCI.pdf
[8] проходить: http://iaas-blog.it-grad.ru/sertifikatsiya-pci-dss-chasto-zadavaemyie-voprosyi/
[9] оценили: http://iaas-blog.it-grad.ru/на-что-обратить-внимание-при-выборе-услуги-облачного-pci-dss-хостинга
[10] Image: http://iaas-blog.it-grad.ru/как-ит-град-сертифицировал-iaas-облако-по-стандарту-pci-dss.-часть-1
[11] Image: http://iaas-blog.it-grad.ru/как-ит-град-сертифицировал-iaas-облако-по-стандарту-pci-dss.-часть-2
[12] Image: http://iaas-blog.it-grad.ru/подводные-камни-присертификации-по-pci-dss-cvv-и-запись-телефонных-разговоров
[13] PCI DSS хостинга: http://www.it-grad.ru/iaas/dopolnitelnye-uslugi/pci-dss-khosting/
[14] получает: http://iaas-blog.it-grad.ru/платежные-системы-и-шлюзы-о-сертификации-pci-dss-аутсорсинге-и-облаках
[15] Источник: https://habrahabr.ru/post/330578/
Нажмите здесь для печати.