Облачный хостинг PCI DSS: подробности предоставления услуги

Часть организаций, деятельность которых связана непосредственно с обработкой информации платежных карточек клиентов, прибегают к услуге так называемого PCI DSS хостинга.

Связано это с тем, что удовлетворение требований стандарта к инфраструктуре — очень трудоемкий процесс.

К примеру, услугами PCI DSS-хостинга пользуется в настоящее время банк для интернет-бизнесменов «РФИ Банк», всеми системами которого управляет облачный провайдер. Этот банк арендует виртуальную защищенную инфраструктуру в соответствии со всеми требованиями специального стандарта PCI DSS по формату IaaS.

Так как все больше организаций обращают внимание на облачный хостинг в Украине PCI DSS, мы хотим поговорить о деталях предоставления данной услуги.

webhosting 800x250 Облачный хостинг PCI DSS: подробности предоставления услуги

Облачный хостинг и PCI DSS

Пара слов о стандарте

Стандарт PCI DSS появился в 2005 году для того, чтобы привести все требования платежных систем к какому-то общему знаменателю в вопросах обеспечения безопасности информации держателей карточек. С 2012 года все компании (включая российские), вовлеченные в процесс хранения, обработки, передачи ДПК должны полностью соответствовать требованиям стандарта PCI DSS.

Определение потребности соответствия стандарту PCI DSS

Для того, чтобы понять, надо ли организации проходить аудит на соответствие PCI DSS, следует ответить на два важных вопроса:

  • Хранятся, обрабатываются, передаются ли данные платежных карточек в вашей компании?
  • Могут ли какие-то бизнес-процессы вашей компании влиять на общую безопасность информации платежных карточек?

В случае если на оба вопроса вы дали строго отрицательный ответ, сертифицироваться по PCI DSS не надо, иначе требования этого стандарта становятся обязательными для компании. Следует отметить, что стандарт PCI DSS состоит из 12 разделов и содержит примерно четыреста требований безопасности, которые предъявляются к обработке информации.

Подробности услуги PCI DSS хостинга

Недавно было проведено исследование рынка и оценка возможных вариантов предоставления сервиса PCI DSS разными компаниями. В итоге было установлено, что наиболее популярными подклассами хостинга PCI DSS оказались услуги Colocation, IaaS Basic, а также IaaS Advanced.

Следует отметить, что при подборе хостинг провайдера необходимо обращать внимание на четко прописанные границы предоставления услуг, которые у отечественных провайдеров часто сводятся к размещению оснащения в машинных залах ЦОДов. Это означает, что хостер предоставляет услугу Colocation, а также выполняет требования по обеспечению только физической безопасности согласно PCI DSS.

Если же говорить об иностранных площадках, то здесь хостеры чаще всего предлагают так называемую услугу IaaS Basic. В таком случае заказчик сам выполняет все регулируемые стандартом процедуры, а провайдер настраивает пограничные брандмауэры, системы виртуализации, маршрутизаторы и прочие компоненты.

Не меньшей популярностью сегодня пользуется услуга под названием IaaS Advanced, когда заказчик получает максимально защищенное облако по известному принципу «все включено». Клиент просто размещает бизнес-приложения в облаке, а большая часть требований PCI DSS «закрывается» поставщиком.

a2acd439d853e856755643b5354558f7 800x301 Облачный хостинг PCI DSS: подробности предоставления услуги

Colocation

Услуга размещения оборудования в дата-центре требует соблюдения специальных норм безопасности. В таком случае применяются средства контроля и управления доступом в ЦОД, где обязательно есть системы видеонаблюдения, системы идентификации личности работников. Все размещаемое оборудование здесь располагается в запираемых надежных стойках, доступ к которым регламентирован.

Причем провайдер отвечает за регулярное выполнение инвентаризации и проверку работоспособности устройств, которые используются в инфраструктуре. Это — одно из обязательных требований современного стандарта PCI DSS.

IaaS Basic

При предоставлении услуги под названием IaaS Basic обязанности клиента и поставщика разделяются согласно специальной матрице ответственности сторон. Провайдер отвечает за отдельные элементы инфраструктуры клиента, а также выполняет настройки в полном соответствии со стандартами безопасного конфигурирования и с обязательным учетом всех требований PCI DSS.

Распределение зон ответственности выполняться может по-разному. Так в инфраструктуре может использоваться Web Application Firewall. Программы, размещаемые заказчиком в облаке, можно пропускать через него, снимая некоторую часть требований по защите программ.

При этом провайдер следит за появлением любых уязвимостей, выполняя таким образом шестое требование стандарта PCI DSS по обновлению всех систем, а также ранжированию рисков. Также бывает внедрено управление изменениями, когда корректировки в рабочую систему вносятся лишь после одобрения особого комитета. Подобный подход дает возможность избежать разных случайных ошибок.

Кроме этого, специалисты провайдера часто выполняют контроль доступа к сетевым ресурсам, мониторят разные события ИС в круглосуточном режиме без выходных, дабы в случае появления инцидента среагировать как можно быстрее.

1hosting Облачный хостинг PCI DSS: подробности предоставления услуги

IaaS Advanced

Инфраструктура как услуга в форме Advanced — решение под ключ, когда заказчик просто разрабатывает, поддерживает безопасные программы, а все прочие задачи, будь то экранирование, настройка компонентов, ограничение доступов, шифрование каналов реализуются силами хостинг провайдера.

Для предоставления сервиса IaaS Advanced провайдер должен соблюдать некоторые требования и использовать специальные технологические решения.

  • Первое требование — это специальная двухфакторная аутентификация. В инфраструктуре провайдера может, к примеру, применяется сервер OTP, генерирующий одноразовые токены, посредством которых пользователи выполняют подключение VPN с пробросом в зону DMZ, в которой размещается узел администрирования и управления. Подключение к данному узлу дает возможность выполнять разнообразные административные задачи, а также обращаться к отдельным элементам инфраструктуры.
  • Второе требование — сетевой фаервол, который разграничивает сети на зоны. Кроме того, в инфраструктуре хостера может использоваться система Palo Alto, оснащенная опцией IPS/IDS, дабы выявлять ситуации любого неавторизованного доступа, а также принимать специальные меры для ликвидации угроз. Еще здесь довольно часто применяется централизованный сервер полноценной антивирусной надежной защиты с установленными агентами на хостах клиента. При обнаружении сообщений о вирусах это позволяет быстро формировать инциденты, а также организовывать рассылку почты с реакцией системы CM на любое фиксируемое событие.
  • Еще одно важное требование — обеспечение контроля целостности всех файлов приложений. При внесении изменений изменяется контрольная сумма, это становится поводом автоматического образования инцидента. Вдобавок, FIM следит и за всеми критичными файлами ОС Linux и Windows. В рамках работы с целостностью файлов также осуществляется ежедневное создание снимков ВМ, дабы можно было «откатиться» до исходного рабочего состояния при нештатной ситуации.

Вывод

Таким образом, используя PCI DSS-хостинг, заказчик получает целый ряд преимуществ, в частности экономию денежных средств и гарантию достаточно быстрого старта проекта. Подобный подход существенно упрощает выполнение разных требований стандарта, прохождение аудита и позволяет сосредоточиться на развитии бизнеса.

Необходимо отметить, что компания, которая предлагает PCI DSS-хостинг должна иметь действующий официальный сертификат, при этом границы предоставляемой услуги должны полностью соответствовать значению Поставщик управляемых сервисов. Это гарантирует, что провайдер имеет полное право оказывать подобные услуги, подразделяющиеся на классы IaaS Basic, Colocation, IaaS Advanced.


Поделитесь с друзьями



Оставить комментарий

Хостинг с отличным саппортом — HOSTiQ