Недавно мы в ИТ-ГРАД успешно ресертифицировали облачную инфраструктуру на соответствие требованиям стандарта PCI DSS и получили сертификат PCI DSS Managed Service Provider, он означает, что мы можем оказывать услуги
/ фото Neil Turner CC
Что такое хостинг PCI DSS
Стандарт PCI DSS представляет собой набор требований, которые нужно соблюдать компаниям, работающим с данными владельцев карт Visa и MasterCard.
PCI DSS
Для построения надёжной сети провайдер использует набор инструментов безопасности исходя из требований PCI DSS. В этот набор входят файрвол, решения для мониторинга сети и WAF. Кроме того, провайдер ограничивает FTP/SSH-подключения для каждого пользователя ко всем машинам и использует скрипты (например, sshd_sentry) для блокировки IP-адресов, с которых совершили несколько неудачных попыток входа в систему.
Провайдер также защищает данные держателей карт с помощью антивирусного ПО, двухфакторной аутентификации, шифрования трафика, и резервного копирования. Также провайдер отвечает за «физическую защиту» оборудования (если у него свой ЦОД). Но часто эта обязанность ложится на сотрудников дата-центра, в котором провайдер размещает стойки. Например, наше оборудование в России размещается в двух ЦОД: московском DataSpace и питерском Xelent, которые сертифицированы по категории Tier III от Uptime Institute.
/ фото Blue Coat Photos CC
Виды хостинга PCI DSS
Согласно проведённому нами исследованию, наиболее популярными вариантами
Co-location
В этом случае клиент размещает свое «железо» в ЦОД оператора. Провайдер несет ответственность за обеспечение безопасности оборудования: в центре обработки данных должно работать видеонаблюдение, сотрудники обязаны проходить идентификационный контроль, а железо — размещаться в защищенных стойках. Кроме того, поставщик услуги проводит регулярные осмотры и проверки оборудования на наличие неисправностей.
IaaS Basic
Клиент отвечает за хранение данных владельцев карт, защиту от вредоносов и безопасность приложений. Провайдер несет ответственность за ограничение физического доступа к данным. Остальные требования PCI DSS распределяются между сторонами в зависимости от составленного договора.
Например, мы можем обеспечивать часть требований по защите приложений вместо клиента, так как у нас имеется WAF. При этом мы также можем отвечать за обновление систем и выявление рисков. Наши сотрудники круглосуточно следят за событиями ИС, чтобы оперативно среагировать.
Успешным примером размещения по схеме IaaS Basic может служить РФИ Банк. Компания работает в сфере e-commerce, поэтому ей нужно соблюдать все 12 требований стандарта PCI DSS. Наша команда полностью управляет облачной инфраструктурой банка.
IaaS Advanced
Услуга IaaS Advanced означает, что провайдер берет на себя ответственность за выполнение практически всех требований стандарта PCI DSS: сюда входит настройка компонентов инфраструктуры и сетей. Клиент занимается только написанием защищенных приложений.
Чтобы иметь возможность предоставлять услугу IaaS Advanced, вендор должен соблюдать несколько требований. Первое из них — наличие 2FA. Для этих целей у нас есть OTP-сервер, генерирующий одноразовые токены.
Другое требование — наличие файрвола. В сетевых вопросах мы всегда работаем по принципу «запрещать все, что не разрешено». Мы используем решение Palo Alto с поддержкой IPS/IDS, чтобы отслеживать неавторизованные подключения и оперативно реагировать на угрозы.
И, наконец, третьим требованием является наличие системы File Integrity Monitor, которая следит за соблюдением целостности файлов, в том числе файлов операционных систем Linux и Windows. Дополнительно мы каждый день создаем резервные копии ВМ, чтобы иметь возможность восстановить информацию в случае сбоя.
Что выбрать
Аналитики компании Cognizant подчеркивают, что требования PCI DSS сложно соблюдать крупным организациям: банкам, сетям розничных магазинов. Поэтому им больше подойдет размещение IaaS Basic или Advanced. Всем остальным компаниям, работающим с данными платежных карт, может подойти услуга co-location.
Наш опрос показал, что 77% компаний, работающих с электронными платежами, пользуются услугами облачных вендоров. При этом опрошенные организации чаще всего выбирают услугу сo-location (42%). Тем не менее услуги IaaS Basic и IaaS Advanced постепенно набирают обороты — их выбирают 32 и 21% респондентов. Поэтому мы предполагаем, что со временем организации начнут передавать в руки провайдеров все больше ответственности за выполнение требований PCI DSS.
P.S. Несколько статей о сертификации PCI DSS из Первого блога о корпоративном IaaS:
- Облачная услуга «PCI DSS хостинг»: в чем помогает эта услуга
- Как мы сертифицировали IaaS-облако по PCI DSS: Часть 1, Часть 2
- На что обратить внимание при выборе услуги облачного PCI DSS хостинга
- Подводные камни при сертификации по PCI DSS: CVV и запись телефонных разговоров
Автор: it_man