Хостинг PCI DSS: что нужно знать

    Недавно мы в ИТ-ГРАД успешно ресертифицировали облачную инфраструктуру на соответствие требованиям стандарта PCI DSS и получили сертификат PCI DSS Managed Service Provider, он означает, что мы можем оказывать услуги хостинга PCI DSS. Далее мы расскажем, что это такое, и познакомим вас с существующими видами сервиса: co-location, IaaS Basic, IaaS Advanced.


    / фото Neil Turner CC

    Что такое хостинг PCI DSS


    Стандарт PCI DSS представляет собой набор требований, которые нужно соблюдать компаниям, работающим с данными владельцев карт Visa и MasterCard. Хостинг PCI DSS — это сервис, который позволяет клиентам переложить часть ответственности за выполнение требований стандарта на плечи провайдера. Эта услуга позволяет участникам рынка электронных платежных систем упростить процесс сертификации и соблюдения норм PCI DSS.

    PCI DSS хостинг-провайдер использует различные способы защиты сведений о держателях карт. Зоны ответственности за выполнение каждого из 12 требований PCI DSS распределяются между клиентом и провайдером, в зависимости от заключенного между ними договора. Однако часто оператор берет на себя ответственность за защиту сети, данных и контроль физического доступа к информации.

    Для построения надёжной сети провайдер использует набор инструментов безопасности исходя из требований PCI DSS. В этот набор входят файрвол, решения для мониторинга сети и WAF. Кроме того, провайдер ограничивает FTP/SSH-подключения для каждого пользователя ко всем машинам и использует скрипты (например, sshd_sentry) для блокировки IP-адресов, с которых совершили несколько неудачных попыток входа в систему.

    Провайдер также защищает данные держателей карт с помощью антивирусного ПО, двухфакторной аутентификации, шифрования трафика, и резервного копирования. Также провайдер отвечает за «физическую защиту» оборудования (если у него свой ЦОД). Но часто эта обязанность ложится на сотрудников дата-центра, в котором провайдер размещает стойки. Например, наше оборудование в России размещается в двух ЦОД: московском DataSpace и питерском Xelent, которые сертифицированы по категории Tier III от Uptime Institute.


    / фото Blue Coat Photos CC

    Виды хостинга PCI DSS


    Согласно проведённому нами исследованию, наиболее популярными вариантами хостинга PCI DSS являются услуги co-location, IaaS Basic и IaaS Advanced.

    Co-location

    В этом случае клиент размещает свое «железо» в ЦОД оператора. Провайдер несет ответственность за обеспечение безопасности оборудования: в центре обработки данных должно работать видеонаблюдение, сотрудники обязаны проходить идентификационный контроль, а железо — размещаться в защищенных стойках. Кроме того, поставщик услуги проводит регулярные осмотры и проверки оборудования на наличие неисправностей.

    IaaS Basic

    Клиент отвечает за хранение данных владельцев карт, защиту от вредоносов и безопасность приложений. Провайдер несет ответственность за ограничение физического доступа к данным. Остальные требования PCI DSS распределяются между сторонами в зависимости от составленного договора.

    Например, мы можем обеспечивать часть требований по защите приложений вместо клиента, так как у нас имеется WAF. При этом мы также можем отвечать за обновление систем и выявление рисков. Наши сотрудники круглосуточно следят за событиями ИС, чтобы оперативно среагировать.

    Успешным примером размещения по схеме IaaS Basic может служить РФИ Банк. Компания работает в сфере e-commerce, поэтому ей нужно соблюдать все 12 требований стандарта PCI DSS. Наша команда полностью управляет облачной инфраструктурой банка.

    IaaS Advanced

    Услуга IaaS Advanced означает, что провайдер берет на себя ответственность за выполнение практически всех требований стандарта PCI DSS: сюда входит настройка компонентов инфраструктуры и сетей. Клиент занимается только написанием защищенных приложений.

    Чтобы иметь возможность предоставлять услугу IaaS Advanced, вендор должен соблюдать несколько требований. Первое из них — наличие 2FA. Для этих целей у нас есть OTP-сервер, генерирующий одноразовые токены.

    Другое требование — наличие файрвола. В сетевых вопросах мы всегда работаем по принципу «запрещать все, что не разрешено». Мы используем решение Palo Alto с поддержкой IPS/IDS, чтобы отслеживать неавторизованные подключения и оперативно реагировать на угрозы.

    И, наконец, третьим требованием является наличие системы File Integrity Monitor, которая следит за соблюдением целостности файлов, в том числе файлов операционных систем Linux и Windows. Дополнительно мы каждый день создаем резервные копии ВМ, чтобы иметь возможность восстановить информацию в случае сбоя.

    Что выбрать


    Аналитики компании Cognizant подчеркивают, что требования PCI DSS сложно соблюдать крупным организациям: банкам, сетям розничных магазинов. Поэтому им больше подойдет размещение IaaS Basic или Advanced. Всем остальным компаниям, работающим с данными платежных карт, может подойти услуга co-location.

    Наш опрос показал, что 77% компаний, работающих с электронными платежами, пользуются услугами облачных вендоров. При этом опрошенные организации чаще всего выбирают услугу сo-location (42%). Тем не менее услуги IaaS Basic и IaaS Advanced постепенно набирают обороты — их выбирают 32 и 21% респондентов. Поэтому мы предполагаем, что со временем организации начнут передавать в руки провайдеров все больше ответственности за выполнение требований PCI DSS.



    P.S. Несколько статей о сертификации PCI DSS из Первого блога о корпоративном IaaS:

    ИТ-ГРАД
    261.47
    vmware iaas provider
    Share post

    Comments 5

      0
      Чтобы иметь возможность предоставлять услугу IaaS Advanced, вендор должен соблюдать несколько требований. Первое из них — наличие 2FA. Для этих целей у нас есть OTP-сервер, генерирующий одноразовые токены.


      как OTP сервер под вашим управлением помогает аутентифицировать пользователей отдельных организаций из инфраструктуры не под вашим управлением вне облака?
        +1
        В инфраструктуре ИТ-ГРАД применяется OTP-сервер, генерирующий одноразовые токены, с помощью которых пользователи выполняют VPN-подключение с пробросом в зону DMZ, где размещается узел управления и администрирования.

        Подключение к этому узлу позволяет выполнять административные задачи и обращаться к отдельным компонентам инфраструктуры.
          0
          Какой сервер аутентификации используете? Правильно ли я понимаю, что метод аутентификации — одноразовые пароли?
        0
        Вопрос чуток не в тему:
        Что будет банку за нарушение PCI DSS (не в части хостинга)?
          0
          Его ждут разборки со стороны МПСов, с которыми сотрудничает банк.
          Могут просто дать время на устранение уязвимости, могут дать большие штрафы, могут дать большие штрафы + прекратят сотрудничать с данным банком.

          Несоблюдение требованиям PCI DSS — это ж не уголовная ответственность, так что правильного ответа нет.

        Only users with full accounts can post comments. Log in, please.