Услуга PCI DSS Compliant hosting

Услуга PCI DSS Compliant hosting (сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями стандарта PCI DSS)

PCI DSS Хостинг

В соответствии с требованиями стандарта PCI DSS каждый поставщик услуг, который имеет доступ к данным о держателях карт, должен пройти обязательную сертификацию. В число таких поставщиков входят и IaaS-провайдеры. При этом, каждая организация, которая пользуется услугами облачного провайдера должна убедиться в том, что инфраструктура провайдера соответствует требованиям PCI DSS.

Мы предоставляем VMware-хостинг в качестве основного вида сертифицируемых услуг, предлагая услуги по размещению виртуальных серверов в PCI DSS сертифицированной облачной инфраструктуре.

С каждым заказчиком мы согласовываем матрицу ответственности за выполнение требований стандарта PCI DSS, в соответствии с которой мы можем брать на себя выполнение подавляющего большинства требований начиная с физического размещения оборудования и заканчивая администрированием операционных систем.

Тестировать
Заказать

Сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS

PCI DSS – это стандарт, определяющий набор требований для организаций, которые обрабатывают данные платежных карт. Организации, которые не соответствуют требованиям стандарта PCI DSS, могут поставить под угрозу свой бизнес, конфиденциальность своих клиентов и получить большие штрафы.

В то время, как другие хостинг-провайдеры оставляют Вас управлять и поддерживать соответствие требованиям стандарта PCI DSS самостоятельно, ИТ-ГРАД, являясь PCI DSS MSP, выступает как часть Вашей ИТ команды.

Разместите ваше приложение в наше PCI DSS облако, и вы сможете упростить для себя выполнение требований стандарта и, соответственно, прохождение аудита.

Что такое сертификация по стандарту PCI DSS и кому она необходима?

Все основные вопросы сертификации мы осветили в статье «Сертификация PCI DSS: часто задаваемые вопросы».

Наиболее востребованы услуги управляемого PCI DSS хостинга организациями, относящимися к первому уровню поставщиков, то есть организациям, которые хранят, обрабатывают и/или передают более 300 000 транзакций в год.

Прошел ли ИТ-ГРАД сертификацию PCI DSS?

В 2015 году группа компаний «ИТ-ГРАД» успешно прошла аудит на соответствие требованиям стандарта PCI DSS, сертифицировав не только физическое размещение, как это делает сегодня большинство поставщиков услуг, но и виртуальную инфраструктуру, а также процессы администрирования. «ИТ-ГРАД» стал одним из первых в России поставщиком услуг с управляемыми сервисами PCI DSS, или MSP-провайдером (PCI DSS Managed Service Provider). Такая сертификация позволяет предоставлять в соответствии с требованиями стандарта услуги не только по физическому размещению и аренде оборудования, но и по аренде виртуальной инфраструктуры в модели IaaS, а также администрированию и управлению этой инфраструктурой.

В рамках полученного MSP-статуса «ИТ-ГРАД» представляет сертифицированное по PCI DSS облако в модели IaaS, гарантируя безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне облачного поставщика, где хранятся, обрабатываются или передаются данные платежных карт. «ИТ-ГРАД» берет на себя ответственность по выполнению обязательных требований стандарта, начиная от физической защиты размещаемых серверов до администрирования операционных систем, а также обеспечивает соблюдение требований безопасности, гарантируя защиту облачной инфраструктуры и постоянный контроль за ее безопасностью.

Какие услуги ИТ-ГРАДа поддерживают хранение, обработку и передачу данных кредитных карт?

Сервисы, которые поддерживают обработку, хранение и передачу данных кредитных карт торговыми компаниями, были проверены на соответствие стандартам PCI DSS. К таким сервисам относятся:

  • Физическое размещение или colocation (аренда стоек с PCI DSS)
  • Аренда физического оборудования с выполнением требований PCI DSS
  • Предоставление безопасной сетевой инфраструктуры, администрируемой с выполнением требований PCI DSS
  • Аренда дискового пространства системы хранения данных
  • Аренда виртуальной инфраструктуры в модели IaaS (мы предоставляем возможность получить как PCI DSS хостинг виртуального дата-центра, так и отдельный PCI DSS сервер)
  • Хостинг приложений
  • Служба поддержки, ITSM система
  • Системные компоненты для обеспечения информационной безопасности
  • Администрирование, в том числе: антивирусы, управление доступом, операционные системы, межсетевые экраны, мониторинг и анализ логов, сканирование и управление уязвимостями.

Соответствие требованиям для перечисленных выше сервисов распространяется на центры обработки данных, расположенные в Москве (физическое размещение) и Петербурге (виртуальная инфраструктура и управляемые сервисы). С 2016 года управляемые виртуальная инфраструктура и управляемые сервисы будут сертифицированы и в Москве.

Что это дает торговым компаниям и платежным шлюзам?

Разместив свои приложения в нашем облаке, вы сможете упростить для себя выполнение требований стандарта PCI DSS и, соответственно, прохождение сертификационного аудита. Все заявленные нами выше сервисы соответствуют требованиям стандарта, что подтверждается ежегодным аудитом.

Если я не являюсь ни платежным шлюзом, ни торговой компанией?

Соответствие наших IaaS-сервисов такому строгому международному стандарту как PCI DSS говорит о высоком уровне защищенности данных наших клиентов, размещающих свои информационные системы в нашем облаке.

Можно ли использовать результаты сертификации ИТ-ГРАДа на соответствие PCI DSS для нашей сертификации по этому стандарту?

При проверке вашей инфраструктуры, размещенной в рамках нашей услуги «PCI DSS хостинг» ваш аудитор может полагаться на факт соответствия наших сервисов стандарту в соответствии с матрицей ответственности между вами и ИТ-ГРАДом.

Есть ли клиенты прошедшие сертификацию на соответствие PCI DSS в облаке ИТ-ГРАДа?

Да, клиенты, разместившие свои среды обработки данных держателей карт успешно проходят сертификационные аудиты. Мы особо щепетильно относимся к безопасности данных клиентов услуги «PCI DSS Compliant hosting», и не публикуем информацию о факте заключения договоров с такими компаниями.

Почему ИТ-ГРАД отсутствует в глобальном регистре поставщиков услуг Visa или в списке совместимых поставщиков услуг MasterCard?

Вся необходимая и достаточная для вашей сертификации информация содержится в официальном документе Attestation of Compliance (AOC), который мы предоставляем по запросу всем своим клиентам. В том числе потенциальным.

Эти списки поставщиков услуг лишь еще раз доказывают, что тот или иной поставщик успешно прошел проверку на совместимость с PCI DSS и отвечает всем применимым требованиям программ Visa и MasterCard. Размещение в списке платное и не является обязательным для PCI DSS сервис-провайдеров.

Выделена ли среда PCI DSS в отдельный сегмент инфраструктуры или любой виртуальный сервер соответствует требованиям стандарта?

Да. Инфраструктура PCI DSS выделена в отдельный сегмент и предоставляется в рамках специальной услуги «PCI DSS Compliant hosting» (сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS).

Признается ли соответствие ИТ-ГРАДа на международном уровне?

Да, PCI DSS – это глобальный стандарт, который действует во всех регионах присутствия Visa и MasterCard.

Каков уровень ответственности ИТ-ГРАДа за выполненные требований стандарта PCI DSS?

В зависимости от того, какое количество требований стандарта передается в зону ответственности ИТ-ГРАДа, мы предлагаем следующие варианты распределения ответственности.

Сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS
Тестировать
Заказать

Аренда стойки или юнитов с PCI DSS

Аренда стойки или юнитов с PCI DSS

Размещение оборудования в соответствии с требованиями стандарта PCI DSS (PCI DSS Co-location) это услуга по предоставлению места и специальной инфраструктуры в дата-центре для размещения и полноценного функционирования оборудования. Дополнительно к размещению оборудования, вы можете заказать каналы связи, доступ в Интернет и необходимые разовые либо регулярные работы. ИТ-ГРАД предлагает размещение Оборудования в следующих дата-центрах:

Код ДЦАдрес ДЦУровень надежности, сертификация ДЦВиды услуг
SDN194362, г.Санкт-Петербург, Выборгское шоссе, д. 503, корп. 12Tier 3 TIA-942 PCI/DSSDedicated rack Shared rack
DS1115088, г.Москва, ул.Шарикоподшипниковская д.11 стр. 8Tier III Design Documents Tier III Constructed Facility Tier III Operational Sustainability PCI/DSS Dedicated rack Shared rack

От выбранного места размещения, зависят параметры качества оказываемой Услуги и стоимость

В рамках стандарта PCI DSS нами выполняются, помимо прочего, следующие требования.

  • Используются средства контроля и управления доступом в серверную, где физически расположены компоненты инфраструктуры.
  • Используются средства контроля и управления доступом в серверную, где физически расположены компоненты инфраструктуры.
  • Все оборудование находится в запираемых серверных шкафах, доступ к которым строго регламентирован.
  • Неиспользуемые порты и разъёмы на оборудование отключены.
  • Внедрены процедуры, позволяющие различать персонал и посетителей дата-центра.
  • Внедрены процедуры обеспечения безопасности носителей информации.
  • Регулярно проводится инвентаризации и проверка всех устройств, применяемых в инфраструктуре.
Тестировать
Заказать

Виртуальный дата-центр или виртуальные сервера с PCI DSS

Виртуальный дата-центр или виртуальные сервера с PCI DSS

Защищенная виртуальная инфраструктура в соответствии с требованиями стандарта PCI DSS (IT-GRAD PCI-DSS VI)

Подключив эту услугу вы получите сертифицированный в соответствии с требованиями PCI DSS виртуальный дата-центр. А также мы согласуем с вами набор сопутствующих услуг, обеспечивающих возможность выполнения требований стандарта PCI DSS в рамках матрицы ответственности.

Внутри виртуальной инфраструктуры вы получите возможность создавать виртуальные машин в требуемой конфигурации (по заявке), возможность устанавливать операционные системы из списка поддерживаемых и любое программное обеспечение внутри данных машин. Все варьируемые характеристики (параметры виртуальных машин, дополнительная функциональность), матрица распределения ответственности (согласно требованиям стандарта PCI DSS) и качественные показатели будут зафиксированы в SLA.

ИТ-ГРАД обеспечивает информационную и физическую безопасность переданных нам данных и оборудования на уровне не ниже применимых требований стандарта безопасности данных индустрии платежных карт Payment Card Industry Data Security Standard.

Наша инфраструктура, в которой создаётся виртуальная инфраструктура клиентов, размещается в сертифицированном по требованиям стандарта PCI DSS Дата-Центре.

Соблюдение требований стандарта PCI DSS требует сочетания определенных процессов и технологий для защиты ваших систем. Помимо прочего, наша инфраструктура включает:

  • Network Firewall (PaloAlto)
  • Web Application Firewall (WAF)
  • Intrusion Prevention System (IPS/IDS)
  • Device Hardening (безопасная настройка ОС)
  • Virus Protection (Windows&Linux hosts)
  • File Integrity Monitor (FIM)
  • Security Information and Event Monitoring (SIEM)
  • Database Backup
  • Vulnerability Scanning
  • Dual Factor Authentication

Для более качественного и удобного сервиса, мы используем дополнительные компоненты инфраструктуры. Наша защищенная инфраструктура включает следующие дополнительные компоненты:

  • Zabbix – система мониторинга производительности и доступности
  • NTP сервер – сервер синхронизации точного времени
  • Repo – единый сервер обновлений для Linux-систем
  • WSUS – единый сервер обновлений для Windows-систем
  • Mail – сервер отправки электронных писем

Мы ежегодно проходим подтверждение соответствия своей информационной инфраструктуры применимым требованиям стандарта PCI DSS.

Вы можете в любой момент запросить документы, подтверждающие соответствие информационной инфраструктуры, вовлеченной в процесс оказания услуг по Договору, применимым требованиям стандарта PCI DSS.

Тестировать
Заказать

PCI DSS compliant инфраструктура и ее администрирование

PCI DSS compliant инфраструктура и ее администрирование

Вне зависимости от уровня Матрицы ответственности, мы предоставляем клиентам услуги PCI DSS Managed Services следующую функциональность и мероприятия по защите инфраструктуры в соответствии с требованиями стандарта PCI DSS:

  • Межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия внутренних адресов инфраструктуры Клиента.
  • Обнаружение и предотвращение вторжений в инфраструктуру Клиента, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности данных платежных карт.
  • Защита от вредоносного кода и программного обеспечения при взаимодействии инфраструктуры Клиента с сетями общего пользования.
  • Ограничение доступа Клиента и приложений Клиента только к своей инфраструктуре.
  • Обеспечение физической безопасности инфраструктуры Клиента:

    использование системы видеонаблюдения на стороне ЦОД, где размещена инфраструктура Клиента;

    использование механизмов реализации разрешительной системы допуска представителей Клиента и обслуживающего персонала Провайдера к информационным ресурсам, инфраструктуре и связанным с её использованием работам документам.

Дополнительно мы можем предоставить следующую функциональность и мероприятия по защите инфраструктуры своих клиентов в соответствии с требованиями стандарта PCI DSS:

  • Межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для обеспечения контроля межсетевого взаимодействия между сетями Клиента (DMZ/CDE).
  • Межсетевой экран для защиты веб-приложений (Web-Application Firewall).
  • Защита от вредоносного кода и программного обеспечения.
  • VPN доступ с применением двухфакторной аутентификацией.
  • Централизованное управление протоколированием событий.
  • Проведение внутреннего и внешнего сканирования на наличие уязвимостей.
  • Создание резервных копий дисков виртуальных машин.
  • Тестирование на проникновение (Penetration test).

Дополнительно к основной функциональности в рамках услуг PCI DSS Managed Services, ИТ-ГРАД может обеспечить администрирование инфраструктуры в соответствии с требованиями стандарта PCI DSS.

Администрирование серверов (DB/Web/App/Log) включающую:

Управление учетными записями Клиента.

  • Создание, удаление и изменение параметров учетных записей в соответствии с требованиями пунктов 7.1, 7.2 стандарта PCI DSS;
  • Выполнение настроек операционной системы в отношении учетных записей в соответствии с требованиями пунктов 8.1 – 8.1.4 стандарта PCI DSS;
  • Выполнение настроек парольных политик в отношении учетных записей в соответствии с требованиями пунктов 2.1, 8.1.6 – 8.2.6 стандарта PCI DSS;
  • Настройка и применение политик разграничения прав доступа в соответствии с требованиями раздела 7, а также требований А.1.1, А.1.2 стандарта PCI DSS;

Настройки операционных систем в соответствии со стандартами безопасного конфигурирования:

  • Настройки локальных межсетевых экранов в соответствии с п. 1.2, 1.3, 2.2;
  • Настройки аудита действий пользователя на уровне операционной системы с использованием встроенных средств аудита и/или c применением локальной системы обнаружение вторжений в сочетании с централизованной системой мониторинга и анализа событий информационной безопасности;
  • Настройки аудита доступа к ДДК (аналогично аудиту действий пользователей);
  • Настройки аудита доступа к системным журналам (лог-файлам);
  • Настройки синхронизации времени с безопасным (доверительным) сервером времени (используется централизованный сервер времени в инфраструктуре Провайдера);
  • Настройки пересылки почтовых сообщений на центральный почтовый сервер (используется агент передачи почты в инфраструктуре Провайдера);
  • Настройки системных сервисов в соответствии с п. 1.1.6 стандарта PCI DSS;

Регулярный контроль целостности исполняемых файлов ОС в соответствии с требованиями пункта 11.5 стандарта PCI DSS;

Регулярное обновление операционных систем в соответствии с требованиями пункта 6.2 стандарта PCI DSS;

Антивирусная защита и регулярное сканирование серверов в соответствии с требованиями раздела 5 стандарта PCI DSS;

Протоколирование событий работы ОС:

  • Выполнение настроек в соответствии с стандартами безопасного конфигурирования операционных систем по требованиям пунктов 10.1, 10.2, 10.3, 10.5, 10.7, а также требованием пункта А.1.3 стандарта PCI DSS;
  • Выполнение анализа журналов протоколирования событий в соответствии с требованиями пунктов 10.6 – 10.6.3 стандарта PCI DSS.

Регулярное внутреннее и внешнее сканирование на предмет наличия уязвимостей операционных систем и бизнес-приложений Клиента в соответствии с требованиями пункта требования 11.2 стандарта PCI DSS. В рамках услуги осуществляется процесс управления уязвимостями.

Пример схемы сети клиента Managed Services в защищенной PCI DSS инфраструктуре ИТ-ГРАД

shema.png
Тестировать
Заказать

Баяндин Е.А., директор по технической поддержке и сопровождению ООО «С 7 Трэвел Ритейл»

«Для размещения наших сервисов мы рассмотрели множество поставщиков услуг, по итогу выбрали компанию ИТ-ГРАД. Для начала перенесли тестовую среду, сейчас размещаем и часть продуктива. За время сотрудничества компания ИТ-ГРАД продемонстрировала ответственный и компетентный подход к выполнению поставленных перед ними задач.»

Все отзывы

Меркуданов Н.А., зам. генерального директора ООО «Бизнес Решение»

«На этапе выбора поставщика мы подвергли „ИТ-ГРАД“ всесторонней проверке как с технической, так и с организационной точки зрения. В процессе „ИТ-ГРАД“ показал себя с наилучшей стороны и остается нашим надежным партнером уже почти два года.»

Все отзывы

Отзыв руководителя информационно-аналитического управления РПЦ В.Кипшидзе

«Выражаем искреннюю благодарность и признательность ООО „ИТ-ГРАД“ и лично генеральному директору Гачко Д.В. за поддержку, оказанную православному интернет-проекту Prihod.ru, надежному партнеру Русской Православной Церкви в области медиа- и интернет-технологий.»

Все отзывы

Отзыв заместителя начальника отдела автоматизации ООО «Мицар» Алексея Доманникова

«Мы столкнулись с проблемой очистки почты от больших объемов вирусов и спама. ИТ-ГРАД обеспечил нас виртуальным сервером и необходимым количеством лицензий Spam Titan, соответствующим текущим потребностям компании.»

Все отзывы

Венедиктова Р.Э., генеральный директор ООО «Прометей»

«На протяжении уже более двух лет данная компания предоставляет нам услуги по организации виртуальной инфраструктуры на базе технологии VMware. Наш бизнес - это телекоммуникационные услуги, биллинг которых является одной из важнейших бизнес-задач компании "Прометей". Благодаря техническим решениям "ИТ-ГРАД" биллинг наших услуг обеспечивается на высочайшем уровне.»

Все отзывы

Андрей Охрименко, ит-директор интернет-магазина «Boutique.ru»

«На данный момент мы отказались от 30 рабочих станций и перевели клиентов на виртуальные десктопы на основе решения VMware View, развернутые в публичном облаке «IT-GRAD». Инфраструктура рабочих станций приведена к стандартному виду, что облегчает её поддержку, уменьшает время реакции на инциденты и облегчает процесс ввода/вывода новых рабочих мест для сотрудников.»

Все отзывы

Гениральный директор ООО «Комплект»

«На протяжении длительного времени наша компания сотрудничает с «ИТ-ГРАД». Мы пользуемся такими услугами как организация рабочего места, телефония OCS, аренда 1С и хостинг почтового сервера. Благодаря работе специалистов этой компании все наши сотрудники приносят значительный вклад в развитие бизнеса.»

Все отзывы

Иващенко Елена Валентиновна, заместитель генерального директора ООО «Мосрегионвент»

«На протяжении 2 лет мы успешно сотрудничаем с компанией ИТ-ГРАД. Мы арендуем конфигурации 1С: Бухгалтерия 8.2 и 1С: Управление торговлей 8.2. Данные конфигурации были доработаны техническими специалистами ИТ-ГРАД в соответствии с нашими пожеланиями, за что выражаем им отдельную благодарность.»

Все отзывы

Карпухин Вячеслав, директор по информационным технологиям ООО «АРМАКС Групп»

«На основе выделенной инфраструктуры было организовано 2 виртуальных сервера: терминальный сервер+сервер 1С и сервер БД. Данный подход к организации ИТ позволил нам обеспечить качественную инфраструктуру для бухгалтеров и избежать капитальных затрат.»

Все отзывы

Шевченко Марина Сергеевна, директор ООО «Поверенный» (Бухгалтерский аутсорсинг)

«В «облачном» сервисе от «ИТ-ГРАД» привлекает защищенность данных. Можно быть уверенными в том, что будет использовано только лицензионное программное обеспечение и защищенное пространство.»

Все отзывы

Борис Грейдингер, директор по ИТ Компании ESET

«Мы остались довольны качеством услуг, предоставленных компанией «ИТ-ГРАД». Можем отметить качество технической поддержки и готовность оперативно предоставить все необходимые консультации. Готовы рекомендовать аренду виртуальных машин «ИТ-ГРАД» как гибкое решение, позволяющее избежать значительных затрат на построение собственной инфраструктуры.»

Все отзывы

Павел Власов, директор «Информационные сервисы ЖКХ»

«За время работы с командой «ИТ-ГРАД» выделены следующие преимущества используемых услуг: доступность, цена, гибкость и мощность самой платформы VMware. Удобно делать обновления наших систем, предварительно либо делая полный backup виртуальной машины, либо snapshot с возможность очень быстрого отката...

Все отзывы

Delivery Club: как облако IaaS помогает в организации сервиса по доставке еды

Читать полностью

PickPoint – первая в России сеть постаматов: 5 лет в облаке IaaS

PickPoint: – первая в России сеть постаматов: 5 лет в облаке IaaS

Читать полностью

IaaS в ритейле: опыт сети магазинов Hamleys

IaaS в ритейле: опыт сети магазинов Hamleys

Читать полностью

×Ваша заявка принята!
Ссылка на скачивание книги придет Вам на электронную почту.
×Ваше сообщение успешно отправлено.
Спасибо за регистрацию!

Test

Order

×
×Your message was successfully sent.
Thank you for registration!

Тестировать

Заказать

×

тестировать

заказать

×

тестировать

заказать

×

тестировать

заказать

×

тестировать

заказать

×

тестировать

заказать

×

тестировать

заказать

×