Часть компаний, деятельность которых связана с обработкой данных платежных карт клиентов, прибегают к услуге PCI DSS
Поскольку все больше компаний обращают внимание на PCI DSS Compliant Hosting, мы хотим поговорить о деталях предоставления этого типа услуги.
Несколько слов о стандарте
Стандарт PCI DSS увидел свет в 2005 году с целью привести требования международных платежных систем к общему знаменателю в вопросах обеспечения безопасности данных держателей карт. С середины 2012 года все организации (включая российские компании), вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS.
Определение необходимости соответствия стандарту PCI DSS
Чтобы понять, нужно ли компании проходить аудит на соответствие PCI DSS, нужно ответить на два вопроса:
- Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
- Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?
Если на оба этих вопроса вы дали отрицательный ответ, то сертифицироваться по PCI DSS не нужно, иначе требования стандарта становятся обязательными для организации. Отметим, что стандарт состоит из двенадцати разделов и содержит около четырехсот требований безопасности, предъявляемых к обработке данных.
Детали услуги PCI DSS хостинга
Мы в компании «ИТ-ГРАД» провели исследование рынка и оценили возможные варианты предоставления сервиса PCI DSS различными компаниями. В результате было установлено, что самыми популярными подклассами PCI DSS
Отметим, что при выборе провайдера стоит обращать внимание на прописанные границы предоставления услуг, которые у российских поставщиков чаще сводятся к размещению оборудования в машинных залах дата-центров. Это означает, что провайдер предоставляет услугу Colocation и выполняет требования по обеспечению исключительно физической безопасности согласно PCI DSS.
Если говорить о зарубежных хостинг-площадках, то здесь провайдеры чаще всего предлагают услугу IaaS Basic. В этом случае заказчик сам выполняет регулируемые стандартом процедуры, а поставщик настраивает пограничные брандмауэры, маршрутизаторы, системы виртуализации и другие компоненты.
Не меньшей популярностью пользуется услуга IaaS Advanced, когда клиент получает максимально защищенное облако по принципу «все включено». Заказчик просто размещает в облаке бизнес-приложения, а большая часть требований PCI DSS «закрывается» провайдером.
Что касается компании «ИТ-ГРАД», то мы предоставляем услугу сертифицированного облачного PCI DSS
Colocation
Услуга размещения оборудования в ЦОД требует соблюдения установленных норм безопасности. В этом случае используются средства контроля и управления доступом в дата-центр, где в обязательном порядке присутствуют системы видеонаблюдения и системы идентификации личности сотрудников. Все размещаемое оборудование располагается в запираемых стойках, доступ к которым регламентирован. При этом поставщик отвечает за регулярное проведение инвентаризации и проверку работоспособности устройств, используемых в инфраструктуре. Это является одним из обязательных требований стандарта PCI DSS.
IaaS Basic
При предоставлении услуги IaaS Basic обязанности поставщика и клиента разделяются согласно установленной матрице ответственности сторон. Поставщик отвечает за отдельные компоненты инфраструктуры клиента и выполняет настройки в соответствии с разработанными стандартами безопасного конфигурирования и с учетом требований PCI DSS.
Распределение зон ответственности может выполняться по-разному. В качестве примера рассмотрим, как это устроено в компании «ИТ-ГРАД». Так как в нашей инфраструктуре используется Web Application Firewall, приложения, размещаемые клиентом в облаке, можно пропускать через него, снимая часть требований по защите приложений.
При этом «ИТ-ГРАД» регулярно следит за появлением новых уязвимостей, выполняя шестое требование стандарта PCI DSS по обновлению систем и ранжированию рисков. Также внедрен процесс управления изменениями, когда корректировки в рабочую систему вносятся только после одобрения специального комитета. Такой подход позволяет избежать случайных ошибок.
Помимо этого, сотрудники провайдера осуществляют контроль доступа к сетевым ресурсам, а также мониторят события ИС в режиме 24 / 7 / 365, чтобы в случае возникновения инцидента быстро среагировать.
IaaS Advanced
Инфраструктура как сервис в формате Advanced — это решение под ключ, когда клиент лишь разрабатывает и поддерживает безопасные приложения, а все остальные задачи, будь то настройка компонентов, экранирование, ограничение доступов или шифрование каналов и другие реализуются силами облачного провайдера.
Для предоставления услуги IaaS Advanced поставщик обязан соблюдать определённые требования и применять соответствующие технологические решения. Рассмотрим несколько из них на примере компании «ИТ-ГРАД».
Технологические решения для услуги IaaS Advanced
Первое требование — двухфакторная аутентификация (Dual Factor Authentication). Например, в инфраструктуре «ИТ-ГРАД» применяется OTP-сервер, генерирующий одноразовые токены, с помощью которых пользователи выполняют VPN-подключение с пробросом в зону DMZ, где размещается узел управления и администрирования. Подключение к этому узлу позволяет выполнять административные задачи и обращаться к отдельным компонентам инфраструктуры.
Второе требование — это сетевой фаервол, разграничивающий сети на зоны. В этом случае мы следуем принципу «что не разрешено, то запрещено». Также в инфраструктуре провайдера используется система Palo Alto, оснащенная функцией IPS/IDS, чтобы выявлять ситуации неавторизованного доступа и принимать меры для устранения возникающих угроз. Еще здесь часто используется централизованный сервер антивирусной защиты с установленными агентами на хостах заказчика. Это позволяет при обнаружении сообщений о вирусах оперативно формировать инциденты и организовывать почтовую рассылку с последующей реакцией CM-системы на фиксируемое событие.
Еще одним требованием является обеспечение контроля целостности файлов приложений (File Integrity Monitor). В случае внесения изменений меняется контрольная сумма, что становится поводом автоматического создания инцидента. Кроме того, FIM следит и за критичными файлами ОС Windows и Linux. В рамках работы с целостностью файлов также проводится ежедневное создание снимков виртуальных машин, чтобы можно было «откатиться» до исходного рабочего состояния в случае нештатной ситуации.
Таким образом, пользуясь услугой PCI DSS хостинга, клиент получает ряд преимуществ, в том числе экономию средств и гарантию быстрого старта проекта. Такой подход упрощает выполнение требований стандарта и прохождение аудита и дает возможность сосредоточиться на профильном развитии бизнеса.
Напоследок хотелось бы отметить, что компания, предлагающая услугу
Автор: it_man