Напомним, что с середины 2012 года все организации, вовлеченные в процесс хранения, обработки и передачи данных платежных карт, должны соответствовать требованиям стандарта PCI DSS, о чем мы рассказывали в статье «Сертификация PCI DSS: часто задаваемые вопросы».
PCI DSS хостинг — это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного
PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт. Выбрав такую услугу, организация закрывает значительную часть требований стандарта PCI DSS. Это означает, что хостинг-провайдер берет на себя выполнение части требований стандарта — от физической защиты размещаемых серверов до администрирования операционных систем. При этом с самой организации снимаются вопросы, связанные с контролем физического доступа к серверам, видеонаблюдением, размещением управляемых межсетевых экранов, систем обнаружения вторжений и т. д.
Каждая организация, решившая использовать услугу PCI DSS хостинга, в рамках работ по достижению соответствия стандарту должна убедиться, что облачный провайдер соответствует необходимым требованиям. Как отмечает технический директор Совета PСI SSC Трой Лич, «Безопасность поставщиков услуг является «слабым местом» для организаций, которые совершают ошибку, доверив конфиденциальные данные сторонним компаниям, не удостоверившись в их уровне безопасности». Далее мы разберемся в том, что представляют собой PCI DSS сертифицированные хостинг-провайдеры, как удостовериться в их безопасности и чем помогает PСI DSS хостинг.
PCI DSS сертифицированные провайдеры
PCI DSS сертифицированный провайдер — это компания, предоставляющая услугу сертифицированного PCI DSS хостинга (PCI DSS Compliant Hosting), в том числе облачного, и администрирования в соответствии с требованиями стандарта PCI DSS. Согласно этим требованиям, любой хостинг-провайдер, имеющий доступ к данным о держателях карт либо способный повлиять на их безопасность, проходит обязательную сертификацию по PCI DSS и периодически подтверждает соблюдение всех норм работы с платежной информацией клиентов. Наличие свидетельства о соответствии стандарту безопасности данных индустрии платежных карт PCI DSS говорит о прохождении поставщиком сертификации. Подтверждение соответствия стандарту PCI DSS для поставщика услуг — это, в первую очередь, обязательство перед своими клиентами по обеспечению безопасности платежных данных, а также соответствие требованиям, предъявляемым международными платежными системами Visa и MasterCard.
Обязанности и требования, предъявляемые к PCI DSS провайдеру
В части реализации безопасности физической и виртуальной инфраструктуры, согласно требованиям стандарта PCI DSS, хостинг-провайдер должен применять определенные меры защиты. К примеру, для организации физической безопасности требуется контроль и ограничение физического доступа во все помещения, в которых расположены компоненты среды данных платежных карт. Для этого необходимо использовать запирающие устройства, системы контроля доступа, включая видеонаблюдение. Также поставщик услуг несет ответственность за безопасность переданных данных о держателях карт, в том числе и данных, находящихся на размещаемых серверах. PCI DSS сертифицированный провайдер должен гарантировать соблюдение требований безопасности:
Поддерживать инфраструктуру в защищенном состоянии и многое другое.
Чем помогает PCI DSS хостинг?
Как известно, аутсорсинг решает множество задач, облегчая и упрощая жизнь организациям. Если раньше многие компании разворачивали информационную инфраструктуру в собственном серверном помещении и выполняли все требования соответствия необходимым стандартам, то сейчас многие отдают предпочтение профессионалам своего дела в лице опытных, высококвалифицированных и, что немаловажно, сертифицированных поставщиков услуг. Переводя свою инфраструктуру в облако PCI DSS сертифицированного хостинг-провайдера или, другими словами, используя услугу PCI DSS хостинга, организация тем самым повышает уровень защищенности среды обработки карточных данных, снижая риски финансовых потерь от возможных инцидентов информационной безопасности.
Однако существует ряд задач, выполнение которых зачастую ложится на плечи самой организации. Рассмотрим наиболее распространенный пример. Всем известно, что подключение к компонентам среды данных платежных карт, которые находятся вне дата-центра хостинг-провайдера, организуется с помощью общедоступных каналов связи. А это требует выполнения ряда условий, связанных с реализацией межсетевого экранирования, шифрования данных при их передаче, применением двухфакторной аутентификации при удаленном доступе и многое другое. Эти требования чаще всего выполняет сама организация, а что касается внутренних каналов связи между серверами на стороне сертифицированного PCI DSS хостинг-провайдера, такая задача решается поставщиком услуг. Поскольку поставщик сертифицированный, такие каналы рассматриваются как доверенные.
Особенности разделения ответственности по выполнению требований стандарта PCI DSS
При передаче на аутсорсинг каких-либо функций по вводу, передаче, обработке, хранению данных платежных карт, согласно пункту 12.8 стандарта, каждая организация должна убедиться, что поставщик соответствует необходимым требованиям. Если имеет место разделение ответственности за выполнение требований стандарта PCI DSS, то возможны несколько ситуаций:
Ситуация 1. Сертифицируется мерчант с оборотом по картам менее 1 млн транзакций в год
Сертифицируется мерчант (торгово-сервисное предприятие, ТСП) с бизнес-процессом, например, электронной коммерции. Его объем транзакций по картам VISA и MasterCard в год — менее 1 млн транзакций. В этом случае ему необходимо подтвердить соответствие PCI DSS с помощью листа самооценки SAQ, разработанного Советом PCI SSC, и выполнения ASV-сканирования. Обратите внимание, что форма листа самооценки бывает нескольких типов (A, A-EP, B, B-IP, C, C-VT, P2PE-HW, D) и зависит от специфики обработки данных держателей карт в организации. Теперь необходимо разобраться, какой именно лист самооценки следует выбрать.
Ситуация 2. Сертифицируется мерчант с оборотом по картам более 1 млн транзакций в год
Сертифицируется мерчант с объемом транзакций по VISA и MasterCard более 1 млн в год. В таком случае мерчант обязан подтвердить соответствие через QSA-аудит. Тут схема аналогичная. Часть требований может взять на себя облачный хостинг-провайдер.
Ситуация 3. Сертифицируется поставщик услуг
Сертифицируется поставщик услуг (платежный шлюз, банк и т. п.), которому необходимо пройти QSA-аудит. Администрирование компонентов информационной инфраструктуры в соответствии с требованиями PCI DSS хостинг-провайдером также возможно. Хостинг-провайдер при этом должен быть сертифицирован по PCI DSS (требование 12.8 стандарта). Подтвердить соответствие через QSA-аудит такому поставщику потребуется независимо от оборота, поскольку ни один эквайер в здравом уме и твердой памяти не подключит поставщика услуг с листом самооценки.
Оформление взаимоотношений с хостинг-провайдером
Оформление взаимоотношений с хостинг-провайдером — это, пожалуй, важнейший этап на пути взаимодействия с поставщиком услуг. Сделав это грамотно и корректно, вы будете иметь представление об ожидаемых результатах. Перед началом взаимодействия с поставщиком необходимо тщательно проверить его благонадежность, а в дальнейшем осуществлять мониторинг выполнения требований на всем протяжении договорных отношений. Что касается последнего, то организации необходимо заключить письменное соглашение с поставщиком услуг о том, что хостинг-провайдер несет ответственность за безопасность переданных ему данных о держателях карт, включая данные, находящиеся на размещенных серверах. А также однозначно разграничить ответственность за выполнение требований PCI DSS между организацией и поставщиком услуг, документально зафиксировав это разграничение в виде подписанной матрицы ответственности по выполнению требований стандарта.
В таблице ниже представлен фрагмент стандартной матрицы ответственности между клиентом и поставщиком услуг.
Таблица 2. Фрагмент матрицы ответственности сторон
Согласовывая с клиентом матрицу ответственности, поставщик услуг может взять на себя выполнение ряда требований, начиная с физического размещения оборудования, заканчивая администрированием операционных систем и приложений.
Как убедиться, что инфраструктура поставщика соответствует требованиям стандарта PCI DSS?
Источниками информации о сертифицированных бизнес-процессах (сервисах) поставщика услуг являются Свидетельство о соответствии (AOC) и Отчёт о соответствии (ROC), которые выдаются поставщику услуг по результатам внешнего сертификационного QSA-аудита. Наличие таких документов свидетельствует о выполнении организацией требований в рамках границ применимости, прописанных в этих документах.
Управляемые сервисы PCI DSS и уровни выполнения требований
Сегодня для российского рынка является актуальной услуга по управляемым сервисам PCI DSS, которая может оказаться особенно полезной для небольших торгово-сервисных предприятий, не имеющих своих подразделений информационных технологий и информационной безопасности.
Обращение к поставщикам услуг с управляемыми сервисами помогает существенно упростить процесс сертификации по стандарту PCI DSS для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне.
Российский рынок PCI DSS хостинг-провайдеров
Если ранее на территории Российской Федерации не наблюдалось ни одного PCI DSS сертифицированного хостинг-провайдера, то сегодня картина несколько изменилась. Однако многие из них ограничиваются предоставлением лишь какой-то одной услуги. Выбирая такого поставщика, клиент, так или иначе, столкнется с определенными ограничениями. Что имеется в виду? Помните, выше мы писали, что наличие Свидетельства о соответствии (AOC 3.0) и Отчета о соответствии (ROC 3.0) подтверждает выполнение поставщиком услуг требований в рамках границ применимости, прописанных в этих документах? На российском рынке хостинг-провайдеры, сертифицированные по PCI DSS, в подавляющем большинстве имеют границы применимости своего сертификата только на уровне Collocation, а это означает, что поставщик сможет выполнять требования стандарта лишь в рамках озвученной границы применимости. Таким образом, вопросы выполнения требований стандарта для виртуальной инфраструктуры и администрирования лягут на плечи самого клиента, а поставщик будет гарантировать только физическую безопасность для размещенного оборудования. Информация о границах применимости должна содержаться в Свидетельстве о соответствии (AOC), который каждый поставщик, сертифицированный по PCI DSS, должен предоставить по требованию клиента. Сертификат же соответствия — это нерегламентированная форма, которая выдается по доброй воле аудитора. Основным документом является AOC — свидетельство о соответствии, в котором отмечаются сервисы и описываются ограничения области аудита.
Рисунок 3. Пример выдержки из AOC, показывающей, что в область применимости включены управляемые сервисы (Managed Services). В checkbox «other services» включается также словесное описание сервисов.
