Хостинг PCI DSS: что нужно знать

в 12:17, , рубрики: pci dss, Блог компании ИТ-ГРАД, ИТ-ГРАД, платежные системы, Разработка под e-commerce, сертификация, хостинг, хостинг pci dss

Недавно мы в ИТ-ГРАД успешно ресертифицировали облачную инфраструктуру на соответствие требованиям стандарта PCI DSS и получили сертификат PCI DSS Managed Service Provider, он означает, что мы можем оказывать услуги хостинга PCI DSS. Далее мы расскажем, что это такое, и познакомим вас с существующими видами сервиса: co-location, IaaS Basic, IaaS Advanced.

Хостинг PCI DSS: что нужно знать - 1
/ фото Neil Turner CC

Что такое хостинг PCI DSS

Стандарт PCI DSS представляет собой набор требований, которые нужно соблюдать компаниям, работающим с данными владельцев карт Visa и MasterCard. Хостинг PCI DSS — это сервис, который позволяет клиентам переложить часть ответственности за выполнение требований стандарта на плечи провайдера. Эта услуга позволяет участникам рынка электронных платежных систем упростить процесс сертификации и соблюдения норм PCI DSS.

PCI DSS хостинг-провайдер использует различные способы защиты сведений о держателях карт. Зоны ответственности за выполнение каждого из 12 требований PCI DSS распределяются между клиентом и провайдером, в зависимости от заключенного между ними договора. Однако часто оператор берет на себя ответственность за защиту сети, данных и контроль физического доступа к информации.

Для построения надёжной сети провайдер использует набор инструментов безопасности исходя из требований PCI DSS. В этот набор входят файрвол, решения для мониторинга сети и WAF. Кроме того, провайдер ограничивает FTP/SSH-подключения для каждого пользователя ко всем машинам и использует скрипты (например, sshd_sentry) для блокировки IP-адресов, с которых совершили несколько неудачных попыток входа в систему.

Провайдер также защищает данные держателей карт с помощью антивирусного ПО, двухфакторной аутентификации, шифрования трафика, и резервного копирования. Также провайдер отвечает за «физическую защиту» оборудования (если у него свой ЦОД). Но часто эта обязанность ложится на сотрудников дата-центра, в котором провайдер размещает стойки. Например, наше оборудование в России размещается в двух ЦОД: московском DataSpace и питерском Xelent, которые сертифицированы по категории Tier III от Uptime Institute.

Хостинг PCI DSS: что нужно знать - 2
/ фото Blue Coat Photos CC

Виды хостинга PCI DSS

Согласно проведённому нами исследованию, наиболее популярными вариантами хостинга PCI DSS являются услуги co-location, IaaS Basic и IaaS Advanced.

Co-location

В этом случае клиент размещает свое «железо» в ЦОД оператора. Провайдер несет ответственность за обеспечение безопасности оборудования: в центре обработки данных должно работать видеонаблюдение, сотрудники обязаны проходить идентификационный контроль, а железо — размещаться в защищенных стойках. Кроме того, поставщик услуги проводит регулярные осмотры и проверки оборудования на наличие неисправностей.

IaaS Basic

Клиент отвечает за хранение данных владельцев карт, защиту от вредоносов и безопасность приложений. Провайдер несет ответственность за ограничение физического доступа к данным. Остальные требования PCI DSS распределяются между сторонами в зависимости от составленного договора.

Например, мы можем обеспечивать часть требований по защите приложений вместо клиента, так как у нас имеется WAF. При этом мы также можем отвечать за обновление систем и выявление рисков. Наши сотрудники круглосуточно следят за событиями ИС, чтобы оперативно среагировать.

Успешным примером размещения по схеме IaaS Basic может служить РФИ Банк. Компания работает в сфере e-commerce, поэтому ей нужно соблюдать все 12 требований стандарта PCI DSS. Наша команда полностью управляет облачной инфраструктурой банка.

IaaS Advanced

Услуга IaaS Advanced означает, что провайдер берет на себя ответственность за выполнение практически всех требований стандарта PCI DSS: сюда входит настройка компонентов инфраструктуры и сетей. Клиент занимается только написанием защищенных приложений.

Чтобы иметь возможность предоставлять услугу IaaS Advanced, вендор должен соблюдать несколько требований. Первое из них — наличие 2FA. Для этих целей у нас есть OTP-сервер, генерирующий одноразовые токены.

Другое требование — наличие файрвола. В сетевых вопросах мы всегда работаем по принципу «запрещать все, что не разрешено». Мы используем решение Palo Alto с поддержкой IPS/IDS, чтобы отслеживать неавторизованные подключения и оперативно реагировать на угрозы.

И, наконец, третьим требованием является наличие системы File Integrity Monitor, которая следит за соблюдением целостности файлов, в том числе файлов операционных систем Linux и Windows. Дополнительно мы каждый день создаем резервные копии ВМ, чтобы иметь возможность восстановить информацию в случае сбоя.

Что выбрать

Аналитики компании Cognizant подчеркивают, что требования PCI DSS сложно соблюдать крупным организациям: банкам, сетям розничных магазинов. Поэтому им больше подойдет размещение IaaS Basic или Advanced. Всем остальным компаниям, работающим с данными платежных карт, может подойти услуга co-location.

Наш опрос показал, что 77% компаний, работающих с электронными платежами, пользуются услугами облачных вендоров. При этом опрошенные организации чаще всего выбирают услугу сo-location (42%). Тем не менее услуги IaaS Basic и IaaS Advanced постепенно набирают обороты — их выбирают 32 и 21% респондентов. Поэтому мы предполагаем, что со временем организации начнут передавать в руки провайдеров все больше ответственности за выполнение требований PCI DSS.


P.S. Несколько статей о сертификации PCI DSS из Первого блога о корпоративном IaaS:

Автор: it_man

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js