company_banner

Облачный хостинг PCI DSS: Детали предоставления услуги

    Часть компаний, деятельность которых связана с обработкой данных платежных карт клиентов, прибегают к услуге PCI DSS хостинга. Это связано с тем, что удовлетворение требований стандарта к инфраструктуре является трудоемким процессом. Например, услугами PCI DSS хостинга пользуется банк для интернет-предпринимателей «РФИ Банк», системами которого управляет «ИТ-ГРАД». Банк арендует защищенную виртуальную инфраструктуру в соответствии с требованиями стандарта PCI DSS по модели IaaS.

    Поскольку все больше компаний обращают внимание на PCI DSS Compliant Hosting, мы хотим поговорить о деталях предоставления этого типа услуги.

    / фото kuhnmi CC

    Несколько слов о стандарте


    Стандарт PCI DSS увидел свет в 2005 году с целью привести требования международных платежных систем к общему знаменателю в вопросах обеспечения безопасности данных держателей карт. С середины 2012 года все организации (включая российские компании), вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS.

    Определение необходимости соответствия стандарту PCI DSS

    Чтобы понять, нужно ли компании проходить аудит на соответствие PCI DSS, нужно ответить на два вопроса:

    1. Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
    2. Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?

    Если на оба этих вопроса вы дали отрицательный ответ, то сертифицироваться по PCI DSS не нужно, иначе требования стандарта становятся обязательными для организации. Отметим, что стандарт состоит из двенадцати разделов и содержит около четырехсот требований безопасности, предъявляемых к обработке данных.

    Детали услуги PCI DSS хостинга


    Мы в компании «ИТ-ГРАД» провели исследование рынка и оценили возможные варианты предоставления сервиса PCI DSS различными компаниями. В результате было установлено, что самыми популярными подклассами PCI DSS хостинга оказались услуги Colocation, IaaS Basic и IaaS Advanced.

    Отметим, что при выборе провайдера стоит обращать внимание на прописанные границы предоставления услуг, которые у российских поставщиков чаще сводятся к размещению оборудования в машинных залах дата-центров. Это означает, что провайдер предоставляет услугу Colocation и выполняет требования по обеспечению исключительно физической безопасности согласно PCI DSS.

    Если говорить о зарубежных хостинг-площадках, то здесь провайдеры чаще всего предлагают услугу IaaS Basic. В этом случае заказчик сам выполняет регулируемые стандартом процедуры, а поставщик настраивает пограничные брандмауэры, маршрутизаторы, системы виртуализации и другие компоненты.

    Не меньшей популярностью пользуется услуга IaaS Advanced, когда клиент получает максимально защищенное облако по принципу «все включено». Заказчик просто размещает в облаке бизнес-приложения, а большая часть требований PCI DSS «закрывается» провайдером.


    Что касается компании «ИТ-ГРАД», то мы предоставляем услугу сертифицированного облачного PCI DSS хостинга, с физическим размещением оборудования (Colocation), а также сервисы IaaS Basic и IaaS Advanced. Далее, мы рассмотрим особенности каждого вида услуг.

    Colocation


    Услуга размещения оборудования в ЦОД требует соблюдения установленных норм безопасности. В этом случае используются средства контроля и управления доступом в дата-центр, где в обязательном порядке присутствуют системы видеонаблюдения и системы идентификации личности сотрудников. Все размещаемое оборудование располагается в запираемых стойках, доступ к которым регламентирован. При этом поставщик отвечает за регулярное проведение инвентаризации и проверку работоспособности устройств, используемых в инфраструктуре. Это является одним из обязательных требований стандарта PCI DSS.

    IaaS Basic


    При предоставлении услуги IaaS Basic обязанности поставщика и клиента разделяются согласно установленной матрице ответственности сторон. Поставщик отвечает за отдельные компоненты инфраструктуры клиента и выполняет настройки в соответствии с разработанными стандартами безопасного конфигурирования и с учетом требований PCI DSS.

    Распределение зон ответственности может выполняться по-разному. В качестве примера рассмотрим, как это устроено в компании «ИТ-ГРАД». Так как в нашей инфраструктуре используется Web Application Firewall, приложения, размещаемые клиентом в облаке, можно пропускать через него, снимая часть требований по защите приложений.

    При этом «ИТ-ГРАД» регулярно следит за появлением новых уязвимостей, выполняя шестое требование стандарта PCI DSS по обновлению систем и ранжированию рисков. Также внедрен процесс управления изменениями, когда корректировки в рабочую систему вносятся только после одобрения специального комитета. Такой подход позволяет избежать случайных ошибок.

    Помимо этого, сотрудники провайдера осуществляют контроль доступа к сетевым ресурсам, а также мониторят события ИС в режиме 24 / 7 / 365, чтобы в случае возникновения инцидента быстро среагировать.

    IaaS Advanced


    Инфраструктура как сервис в формате Advanced — это решение под ключ, когда клиент лишь разрабатывает и поддерживает безопасные приложения, а все остальные задачи, будь то настройка компонентов, экранирование, ограничение доступов или шифрование каналов и другие реализуются силами облачного провайдера.

    Для предоставления услуги IaaS Advanced поставщик обязан соблюдать определённые требования и применять соответствующие технологические решения. Рассмотрим несколько из них на примере компании «ИТ-ГРАД».

    Технологические решения для услуги IaaS Advanced

    Первое требование — двухфакторная аутентификация (Dual Factor Authentication). Например, в инфраструктуре «ИТ-ГРАД» применяется OTP-сервер, генерирующий одноразовые токены, с помощью которых пользователи выполняют VPN-подключение с пробросом в зону DMZ, где размещается узел управления и администрирования. Подключение к этому узлу позволяет выполнять административные задачи и обращаться к отдельным компонентам инфраструктуры.

    Второе требование — это сетевой фаервол, разграничивающий сети на зоны. В этом случае мы следуем принципу «что не разрешено, то запрещено». Также в инфраструктуре провайдера используется система Palo Alto, оснащенная функцией IPS/IDS, чтобы выявлять ситуации неавторизованного доступа и принимать меры для устранения возникающих угроз. Еще здесь часто используется централизованный сервер антивирусной защиты с установленными агентами на хостах заказчика. Это позволяет при обнаружении сообщений о вирусах оперативно формировать инциденты и организовывать почтовую рассылку с последующей реакцией CM-системы на фиксируемое событие.

    Еще одним требованием является обеспечение контроля целостности файлов приложений (File Integrity Monitor). В случае внесения изменений меняется контрольная сумма, что становится поводом автоматического создания инцидента. Кроме того, FIM следит и за критичными файлами ОС Windows и Linux. В рамках работы с целостностью файлов также проводится ежедневное создание снимков виртуальных машин, чтобы можно было «откатиться» до исходного рабочего состояния в случае нештатной ситуации.

    Таким образом, пользуясь услугой PCI DSS хостинга, клиент получает ряд преимуществ, в том числе экономию средств и гарантию быстрого старта проекта. Такой подход упрощает выполнение требований стандарта и прохождение аудита и дает возможность сосредоточиться на профильном развитии бизнеса.

    Напоследок хотелось бы отметить, что компания, предлагающая услугу хостинга PCI DSS должна иметь действующий сертификат, а границы предоставляемого сервиса должны соответствовать значению поставщик услуг управляемых сервисов. Это говорит о том, что провайдер имеет право оказывать услуги PCI DSS хостинга, подразделяющиеся на классы Colocation, IaaS Basic и IaaS Advanced.
    ИТ-ГРАД
    vmware iaas provider

    Comments 7

      0

      А как застрахована ваша ответственность перед заказчиками? Ведь если у крупного банка будут потери (репутационные, транзакционные и т.д.), то доступного капитала компании может не хватить, чтобы покрыть их.

        +1
        В зависимости от того, какое количество требований стандарта передается в зону ответственности ИТ-ГРАДа, мы предлагаем следующие варианты распределения ответственности.



        Если есть необходимость что-то уточнить более детально по вашему кейсу, с нами можно связаться следующими способами.
          +1

          it_man, спасибо за схему! Я, наверное, расплывчато задал вопрос.


          Допустим, вы предоставляете уровень "PCI DSS Managed Services". Банк использует вашу инфраструктуру. Потом датацентр сгорает/компания банкротится/полиция совершает рейдерский захват и т.д. После этого независимая компания оценивает ущерб банку как 1 Млрд рублей. Скорее всего у вас нет такого количества свободных денег, а потому выплатить компенсацию вы не сможете.


          Вопрос: что получит банк в этом случае?


          Вариантов немного, я перечислю самые основные:


          • Вы остаетесь должны банку большую сумму, которая погашается очень долго, или за счет акций и т.д.
          • Ваша ответственность ограничена договором в стиле "не больше 20 млн рублей" (т.е. капиталов компании хватит)
          • Ваши риски застрахованы, а потому со всем компенсациями выше N страховая компания придет на помощь
            +3
            Уважаемый Игорь, мы предоставляем различные варианты страхования киберрисков и профессиональной ответственности в партнерстве с ведущими страховыми компаниями.

            Немного подробнее об этом можно почитать вот здесь.
              0

              Круто, спасибо !

        0
        Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации


        Если у меня в магазине стоит банковский карточный терминал — считается ли, что я обрабатываюя или передаю ДПК?
          +1
          Сотвествие требованиям стандарта необходимо, но процесс подтверждения в этом случае значительно упрощен.
          Подробнее здесь. И тут.

          Будем рады ответить на вопросы, если напишите на почту info@it-grad.ru

        Only users with full accounts can post comments. Log in, please.