PCI DSS хостинг

PCI DSS Compliant hosting (сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями стандарта PCI DSS)

Услуга PCI DSS Compliant hosting (сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями стандарта PCI DSS)

PCI DSS Хостинг

В соответствии с требованиями стандарта PCI DSS каждый поставщик услуг, который имеет доступ к данным о держателях карт, должен пройти обязательную сертификацию. В число таких поставщиков входят и IaaS-провайдеры. При этом, каждая организация, которая пользуется услугами облачного провайдера должна убедиться в том, что инфраструктура провайдера соответствует требованиям PCI DSS.

Мы предоставляем VMware-хостинг в качестве основного вида сертифицируемых услуг, предлагая услуги по размещению виртуальных серверов в PCI DSS сертифицированной облачной инфраструктуре.

С каждым заказчиком мы согласовываем матрицу ответственности за выполнение требований стандарта PCI DSS, в соответствии с которой мы можем брать на себя выполнение подавляющего большинства требований, начиная с физического размещения оборудования и заканчивая администрированием операционных систем.

FAQ

Сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS

PCI DSS – это стандарт, определяющий набор требований для организаций, которые обрабатывают данные платежных карт. Организации, которые не соответствуют требованиям стандарта PCI DSS, могут поставить под угрозу свой бизнес, конфиденциальность своих клиентов и получить большие штрафы.

В то время, как другие хостинг-провайдеры оставляют Вас управлять и поддерживать соответствие требованиям стандарта PCI DSS самостоятельно, ИТ-ГРАД, являясь PCI DSS MSP, выступает как часть Вашей ИТ команды.

Разместите ваше приложение в наше PCI DSS облако, и вы сможете упростить для себя выполнение требований стандарта и, соответственно, прохождение аудита.

Что такое сертификация по стандарту PCI DSS и кому она необходима?

Все основные вопросы сертификации мы осветили в статье «Сертификация PCI DSS: часто задаваемые вопросы».

Наиболее востребованы услуги управляемого PCI DSS хостинга организациями, относящимися к первому уровню поставщиков, то есть организациям, которые хранят, обрабатывают и/или передают более 300 000 транзакций в год.

Прошел ли ИТ-ГРАД сертификацию PCI DSS?

В 2015 году группа компаний «ИТ-ГРАД» успешно прошла аудит на соответствие требованиям стандарта PCI DSS, сертифицировав не только физическое размещение, как это делает сегодня большинство поставщиков услуг, но и виртуальную инфраструктуру, а также процессы администрирования. «ИТ-ГРАД» стал одним из первых в России поставщиком услуг с управляемыми сервисами PCI DSS, или MSP-провайдером (PCI DSS Managed Service Provider). Такая сертификация позволяет предоставлять в соответствии с требованиями стандарта услуги не только по физическому размещению и аренде оборудования, но и по аренде виртуальной инфраструктуры в модели IaaS, а также администрированию и управлению этой инфраструктурой.

В рамках полученного MSP-статуса «ИТ-ГРАД» представляет сертифицированное по PCI DSS облако в модели IaaS, гарантируя безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне облачного поставщика, где хранятся, обрабатываются или передаются данные платежных карт. «ИТ-ГРАД» берет на себя ответственность по выполнению обязательных требований стандарта, начиная от физической защиты размещаемых серверов до администрирования операционных систем, а также обеспечивает соблюдение требований безопасности, гарантируя защиту облачной инфраструктуры и постоянный контроль за ее безопасностью.

Какие услуги ИТ-ГРАДа поддерживают хранение, обработку и передачу данных кредитных карт?

Сервисы, которые поддерживают обработку, хранение и передачу данных кредитных карт торговыми компаниями, были проверены на соответствие стандартам PCI DSS. К таким сервисам относятся:

  • Физическое размещение или colocation (аренда стоек с PCI DSS)
  • Аренда физического оборудования с выполнением требований PCI DSS
  • Предоставление безопасной сетевой инфраструктуры, администрируемой с выполнением требований PCI DSS
  • Аренда дискового пространства системы хранения данных
  • Аренда виртуальной инфраструктуры в модели IaaS (мы предоставляем возможность получить как PCI DSS хостинг виртуального дата-центра, так и отдельный PCI DSS сервер)
  • Хостинг приложений
  • Служба поддержки, ITSM система
  • Системные компоненты для обеспечения информационной безопасности
  • Администрирование, в том числе: антивирусы, управление доступом, операционные системы, межсетевые экраны, мониторинг и анализ логов, сканирование и управление уязвимостями.

Соответствие требованиям для перечисленных выше сервисов распространяется на центры обработки данных, расположенные в Москве (физическое размещение) и Петербурге (виртуальная инфраструктура и управляемые сервисы). С 2016 года управляемые виртуальная инфраструктура и управляемые сервисы будут сертифицированы и в Москве.

Что это дает торговым компаниям и платежным шлюзам?

Разместив свои приложения в нашем облаке, вы сможете упростить для себя выполнение требований стандарта PCI DSS и, соответственно, прохождение сертификационного аудита. Все заявленные нами выше сервисы соответствуют требованиям стандарта, что подтверждается ежегодным аудитом.

Если я не являюсь ни платежным шлюзом, ни торговой компанией?

Соответствие наших IaaS-сервисов такому строгому международному стандарту как PCI DSS говорит о высоком уровне защищенности данных наших клиентов, размещающих свои информационные системы в нашем облаке.

Можно ли использовать результаты сертификации ИТ-ГРАДа на соответствие PCI DSS для нашей сертификации по этому стандарту?

При проверке вашей инфраструктуры, размещенной в рамках нашей услуги «PCI DSS хостинг» ваш аудитор может полагаться на факт соответствия наших сервисов стандарту в соответствии с матрицей ответственности между вами и ИТ-ГРАДом.

Есть ли клиенты прошедшие сертификацию на соответствие PCI DSS в облаке ИТ-ГРАДа?

Да, клиенты, разместившие свои среды обработки данных держателей карт успешно проходят сертификационные аудиты. Мы особо щепетильно относимся к безопасности данных клиентов услуги «PCI DSS Compliant hosting», и не публикуем информацию о факте заключения договоров с такими компаниями.

Почему ИТ-ГРАД отсутствует в глобальном регистре поставщиков услуг Visa или в списке совместимых поставщиков услуг MasterCard?

Вся необходимая и достаточная для вашей сертификации информация содержится в официальном документе Attestation of Compliance (AOC), который мы предоставляем по запросу всем своим клиентам. В том числе потенциальным.

Эти списки поставщиков услуг лишь еще раз доказывают, что тот или иной поставщик успешно прошел проверку на совместимость с PCI DSS и отвечает всем применимым требованиям программ Visa и MasterCard. Размещение в списке платное и не является обязательным для PCI DSS сервис-провайдеров.

Выделена ли среда PCI DSS в отдельный сегмент инфраструктуры или любой виртуальный сервер соответствует требованиям стандарта?

Да. Инфраструктура PCI DSS выделена в отдельный сегмент и предоставляется в рамках специальной услуги «PCI DSS Compliant hosting» (сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS).

Признается ли соответствие ИТ-ГРАДа на международном уровне?

Да, PCI DSS – это глобальный стандарт, который действует во всех регионах присутствия Visa и MasterCard.

Каков уровень ответственности ИТ-ГРАДа за выполненные требований стандарта PCI DSS?

В зависимости от того, какое количество требований стандарта передается в зону ответственности ИТ-ГРАДа, мы предлагаем следующие варианты распределения ответственности.

Сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS Colocation

Аренда стойки или юнитов с PCI DSS

Аренда стойки или юнитов с PCI DSS

Размещение оборудования в соответствии с требованиями стандарта PCI DSS (PCI DSS Co-location) это услуга по предоставлению места и специальной инфраструктуры в дата-центре для размещения и полноценного функционирования оборудования. Дополнительно к размещению оборудования, вы можете заказать каналы связи, доступ в Интернет и необходимые разовые либо регулярные работы. ИТ-ГРАД предлагает размещение Оборудования в следующих дата-центрах:

Код ДЦАдрес ДЦУровень надежности, сертификация ДЦВиды услуг
SDN194362, г.Санкт-Петербург, Выборгское шоссе, д. 503, корп. 12Tier 3 TIA-942 PCI/DSSDedicated rack Shared rack
DS1115088, г.Москва, ул.Шарикоподшипниковская д.11 стр. 8Tier III Design Documents Tier III Constructed Facility Tier III Operational Sustainability PCI/DSS Dedicated rack Shared rack

От выбранного места размещения, зависят параметры качества оказываемой Услуги и стоимость

В рамках стандарта PCI DSS нами выполняются, помимо прочего, следующие требования.

  • Используются средства контроля и управления доступом в серверную, где физически расположены компоненты инфраструктуры.
  • Используются средства контроля и управления доступом в серверную, где физически расположены компоненты инфраструктуры.
  • Все оборудование находится в запираемых серверных шкафах, доступ к которым строго регламентирован.
  • Неиспользуемые порты и разъёмы на оборудование отключены.
  • Внедрены процедуры, позволяющие различать персонал и посетителей дата-центра.
  • Внедрены процедуры обеспечения безопасности носителей информации.
  • Регулярно проводится инвентаризации и проверка всех устройств, применяемых в инфраструктуре.
IaaS

Виртуальный дата-центр или виртуальные сервера с PCI DSS

Виртуальный дата-центр или виртуальные сервера с PCI DSS

Защищенная виртуальная инфраструктура в соответствии с требованиями стандарта PCI DSS (IT-GRAD PCI-DSS VI)

Подключив эту услугу вы получите сертифицированный в соответствии с требованиями PCI DSS виртуальный дата-центр. А также мы согласуем с вами набор сопутствующих услуг, обеспечивающих возможность выполнения требований стандарта PCI DSS в рамках матрицы ответственности.

Внутри виртуальной инфраструктуры вы получите возможность создавать виртуальные машин в требуемой конфигурации (по заявке), возможность устанавливать операционные системы из списка поддерживаемых и любое программное обеспечение внутри данных машин. Все варьируемые характеристики (параметры виртуальных машин, дополнительная функциональность), матрица распределения ответственности (согласно требованиям стандарта PCI DSS) и качественные показатели будут зафиксированы в SLA.

ИТ-ГРАД обеспечивает информационную и физическую безопасность переданных нам данных и оборудования на уровне не ниже применимых требований стандарта безопасности данных индустрии платежных карт Payment Card Industry Data Security Standard.

Наша инфраструктура, в которой создаётся виртуальная инфраструктура клиентов, размещается в сертифицированном по требованиям стандарта PCI DSS Дата-Центре.

Соблюдение требований стандарта PCI DSS требует сочетания определенных процессов и технологий для защиты ваших систем. Помимо прочего, наша инфраструктура включает:

  • Network Firewall (PaloAlto)
  • Web Application Firewall (WAF)
  • Intrusion Prevention System (IPS/IDS)
  • Device Hardening (безопасная настройка ОС)
  • Virus Protection (Windows&Linux hosts)
  • File Integrity Monitor (FIM)
  • Security Information and Event Monitoring (SIEM)
  • Database Backup
  • Vulnerability Scanning
  • Dual Factor Authentication

Для более качественного и удобного сервиса, мы используем дополнительные компоненты инфраструктуры. Наша защищенная инфраструктура включает следующие дополнительные компоненты:

  • Zabbix – система мониторинга производительности и доступности
  • NTP сервер – сервер синхронизации точного времени
  • Repo – единый сервер обновлений для Linux-систем
  • WSUS – единый сервер обновлений для Windows-систем
  • Mail – сервер отправки электронных писем

Мы ежегодно проходим подтверждение соответствия своей информационной инфраструктуры применимым требованиям стандарта PCI DSS.

Вы можете в любой момент запросить документы, подтверждающие соответствие информационной инфраструктуры, вовлеченной в процесс оказания услуг по Договору, применимым требованиям стандарта PCI DSS.

PCI DSS Managed Services

PCI DSS compliant инфраструктура и ее администрирование

PCI DSS compliant инфраструктура и ее администрирование

Вне зависимости от уровня Матрицы ответственности, мы предоставляем клиентам услуги PCI DSS Managed Services следующую функциональность и мероприятия по защите инфраструктуры в соответствии с требованиями стандарта PCI DSS:

  • Межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия внутренних адресов инфраструктуры Клиента.
  • Обнаружение и предотвращение вторжений в инфраструктуру Клиента, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности данных платежных карт.
  • Защита от вредоносного кода и программного обеспечения при взаимодействии инфраструктуры Клиента с сетями общего пользования.
  • Ограничение доступа Клиента и приложений Клиента только к своей инфраструктуре.
  • Обеспечение физической безопасности инфраструктуры Клиента:

    использование системы видеонаблюдения на стороне ЦОД, где размещена инфраструктура Клиента;

    использование механизмов реализации разрешительной системы допуска представителей Клиента и обслуживающего персонала Провайдера к информационным ресурсам, инфраструктуре и связанным с её использованием работам документам.

Дополнительно мы можем предоставить следующую функциональность и мероприятия по защите инфраструктуры своих клиентов в соответствии с требованиями стандарта PCI DSS:

  • Межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для обеспечения контроля межсетевого взаимодействия между сетями Клиента (DMZ/CDE).
  • Межсетевой экран для защиты веб-приложений (Web-Application Firewall).
  • Защита от вредоносного кода и программного обеспечения.
  • VPN доступ с применением двухфакторной аутентификацией.
  • Централизованное управление протоколированием событий.
  • Проведение внутреннего и внешнего сканирования на наличие уязвимостей.
  • Создание резервных копий дисков виртуальных машин.
  • Тестирование на проникновение (Penetration test).

Дополнительно к основной функциональности в рамках услуг PCI DSS Managed Services, ИТ-ГРАД может обеспечить администрирование инфраструктуры в соответствии с требованиями стандарта PCI DSS.

Администрирование серверов (DB/Web/App/Log) включающую:

Управление учетными записями Клиента.

  • Создание, удаление и изменение параметров учетных записей в соответствии с требованиями пунктов 7.1, 7.2 стандарта PCI DSS;
  • Выполнение настроек операционной системы в отношении учетных записей в соответствии с требованиями пунктов 8.1 – 8.1.4 стандарта PCI DSS;
  • Выполнение настроек парольных политик в отношении учетных записей в соответствии с требованиями пунктов 2.1, 8.1.6 – 8.2.6 стандарта PCI DSS;
  • Настройка и применение политик разграничения прав доступа в соответствии с требованиями раздела 7, а также требований А.1.1, А.1.2 стандарта PCI DSS;

Настройки операционных систем в соответствии со стандартами безопасного конфигурирования:

  • Настройки локальных межсетевых экранов в соответствии с п. 1.2, 1.3, 2.2;
  • Настройки аудита действий пользователя на уровне операционной системы с использованием встроенных средств аудита и/или c применением локальной системы обнаружение вторжений в сочетании с централизованной системой мониторинга и анализа событий информационной безопасности;
  • Настройки аудита доступа к ДДК (аналогично аудиту действий пользователей);
  • Настройки аудита доступа к системным журналам (лог-файлам);
  • Настройки синхронизации времени с безопасным (доверительным) сервером времени (используется централизованный сервер времени в инфраструктуре Провайдера);
  • Настройки пересылки почтовых сообщений на центральный почтовый сервер (используется агент передачи почты в инфраструктуре Провайдера);
  • Настройки системных сервисов в соответствии с п. 1.1.6 стандарта PCI DSS;

Регулярный контроль целостности исполняемых файлов ОС в соответствии с требованиями пункта 11.5 стандарта PCI DSS;

Регулярное обновление операционных систем в соответствии с требованиями пункта 6.2 стандарта PCI DSS;

Антивирусная защита и регулярное сканирование серверов в соответствии с требованиями раздела 5 стандарта PCI DSS;

Протоколирование событий работы ОС:

  • Выполнение настроек в соответствии с стандартами безопасного конфигурирования операционных систем по требованиям пунктов 10.1, 10.2, 10.3, 10.5, 10.7, а также требованием пункта А.1.3 стандарта PCI DSS;
  • Выполнение анализа журналов протоколирования событий в соответствии с требованиями пунктов 10.6 – 10.6.3 стандарта PCI DSS.

Регулярное внутреннее и внешнее сканирование на предмет наличия уязвимостей операционных систем и бизнес-приложений Клиента в соответствии с требованиями пункта требования 11.2 стандарта PCI DSS. В рамках услуги осуществляется процесс управления уязвимостями.

Пример схемы сети клиента Managed Services в защищенной PCI DSS инфраструктуре ИТ-ГРАД

shema.png PCI DSS HSM

PCI DSS HSM – услуга размещения криптографического оборудования – модулей безопасности аппаратных средств индустрии платежных карт PCI HSM (Hardware Security Module) в специализированных стойках изолированного защищенного контура ЦОД, удовлетворяющего требованиям стандарта PCI DSS.

PCI DSS HSM

Модули PCI HSM, размещенные в защищенной инфраструктуре «ИТ-ГРАД», обеспечивают реализацию следующих процессов:

  • Обработка PIN-кодов,
  • Проверка карт,
  • Выпуск и персонализация карт,
  • EFTPOS и безопасность 3-D,
  • Обмен между банкоматами,
  • Пополнение карточных счетов наличными,
  • Целостность данных,
  • Обработка транзакций на основе чип-карт.

 «ИТ-ГРАД» выполняет установленные требования стандарта PCI DSS в отношении размещения криптографического оборудования:

  • Используются средства контроля и управления доступом в защищенное помещение со специализированными стойками, где размещаются модули HSM.
  • Реализуется круглосуточная видеозапись помещений с установленными криптографическими устройствами.
  • Обеспечиваются условия, при которых только уполномоченные лица организации, разместившие криптографическое оборудование, имеют доступ к собственной защищенной инфраструктуре.
  • Доступ в защищенный контур с размещенными HSM модулями строго регламентируется и осуществляется при обязательном присутствии двух уполномоченных лиц, предъявляющих для входа два различных ключа доступа одновременно.
  • Ведется постоянный контроль на предмет наличия двух уполномоченных лиц в защищаемой зоне. В случае нахождения в помещении одного человека – срабатывает тревога.
  • Для реализации физической безопасности помещение изолируется металлическими решетками, что исключает возможность проникновения посторонних лиц.Ведется постоянный учет и фиксирование входов/выходов, производится регулярное логирование событий.

Консультация по услугам

Наши менеджеры с удовольствием ответят на Ваши вопросы и подготовят индивидуальное коммерческое предложение.