PCI DSS хостинг

Защищенная виртуальная инфраструктура в соответствии с требованиями стандарта PCI DSS – расширенная (IT-GRAD PCI-DSS VI Advanced)

Подключив эту услугу, вы получите сертифицированный в соответствии с требованиями PCI DSS виртуальный дата-центр по модели IaaS Basic, а также дополнительное администрирование операционных систем, сетевых устройств и систем защиты веб-трафика (Web-Application Firewall). Это позволяет получить максимально полное соответствие стандарту PCI DSS.

«ИТ-ГРАД» выполняет 10 из 12 основных разделов стандарта PCI DSS за клиента, тем самым клиенту остается соответствовать стандарту только на уровне платежного приложения и шифрования базы данных.

Сертифицированный облачный PCI DSS хостинг и администрирование в соответствии с требованиями PCI DSS

Матрица ответственности

Мы согласуем с вами набор сопутствующих услуг, обеспечивающих возможность выполнения требований стандарта PCI DSS в рамках матрицы ответственности. Матрица ответственности такого уровня позволяет клиенту не отвлекаться на вопросы, связанные с инфраструктурой, а заниматься только платежным приложением. В случае прохождения клиентом сертификационного QSA-аудита или проведения внутреннего аудита матрица ответственности позволяет аудитору не спрашивать у клиента о пунктах, ответственность за которые несет «ИТ-ГРАД».

В рамках услуги PCI DSS Advanced предоставляется следующая функциональность и мероприятия по защите инфраструктуры своих клиентов в соответствии с требованиями стандарта PCI DSS:

  • Ограничение доступа клиента и приложений клиента только к своей инфраструктуре.
  • Обеспечение физической безопасности инфраструктуры клиента:
  • использование системы видеонаблюдения на стороне ЦОД, где размещена инфраструктура клиента;
  • использование механизмов реализации разрешительной системы допуска представителей клиента и обслуживающего персонала Провайдера к информационным ресурсам, инфраструктуре и связанным с её использованием работам и документам.
  • Межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для обеспечения контроля межсетевого взаимодействия между сетями клиента (DMZ/CDE).
  • Межсетевой экран для защиты веб-приложений (Web-Application Firewall).
  • Защита от вредоносного кода и программного обеспечения.
  • VPN-доступ с применением двухфакторной аутентификации.
  • Централизованное управление протоколированием событий с использованием SIEM-системы.
  • Проведение внутреннего и внешнего сканирования на наличие уязвимостей.
  • Создание резервных копий дисков виртуальных машин.
  • Тестирование на проникновение (Penetration test).
  • Для полноценной реализации услуги PCI DSS Advanced «ИТ-ГРАД» обеспечивает администрирование инфраструктуры в соответствии с требованиями стандарта PCI DSS.

Что включает администрирование серверов (DB/Web/App/Log)

Управление учетными записями клиента:

  • Создание, удаление и изменение параметров учетных записей в соответствии с требованиями пунктов 7.1, 7.2 стандарта PCI DSS.
  • Выполнение настроек операционной системы в отношении учетных записей в соответствии с требованиями пунктов 8.1–8.1.4 стандарта PCI DSS.
  • Выполнение настроек парольных политик в отношении учетных записей в соответствии с требованиями пунктов 2.1, 8.1.6–8.2.6 стандарта PCI DSS.
  • Настройка и применение политик разграничения прав доступа в соответствии с требованиями раздела 7, а также требований А.1.1, А.1.2 стандарта PCI DSS.

Настройки операционных систем в соответствии со стандартами безопасного конфигурирования:

  • Настройки локальных межсетевых экранов в соответствии с п. 1.2, 1.3, 2.2.
  • Настройки аудита действий пользователя на уровне операционной системы с использованием встроенных средств аудита и/или c применением локальной системы обнаружение вторжений в сочетании с централизованной системой мониторинга и анализа событий информационной безопасности.
  • Настройки аудита доступа к ДДК (аналогично аудиту действий пользователей).
  • Настройки аудита доступа к системным журналам (лог-файлам).
  • Настройки синхронизации времени с безопасным (доверительным) сервером времени (используется централизованный сервер времени в инфраструктуре Провайдера).
  • Настройки пересылки почтовых сообщений на центральный почтовый сервер (используется агент передачи почты в инфраструктуре Провайдера).
  • Настройки системных сервисов в соответствии с п. 1.1.6 стандарта PCI DSS.
  • Регулярный контроль целостности исполняемых файлов ОС в соответствии с требованиями пункта 11.5 стандарта PCI DSS.
  • Регулярное обновление операционных систем в соответствии с требованиями пункта 6.2 стандарта PCI DSS.
  • Антивирусная защита и регулярное сканирование серверов в соответствии с требованиями раздела 5 стандарта PCI DSS.

Протоколирование событий работы ОС:

  • Выполнение настроек в соответствии со стандартами безопасного конфигурирования операционных систем по требованиям пунктов 10.1, 10.2, 10.3, 10.5, 10.7, а также пункта А.1.3 стандарта PCI DSS.
  • Выполнение анализа журналов протоколирования событий в соответствии с требованиями пунктов 10.6–10.6.3 стандарта PCI DSS.
  • Регулярное внутреннее и внешнее сканирование на предмет наличия уязвимостей операционных систем и бизнес-приложений клиента в соответствии с требованиями пункта 11.2 стандарта PCI DSS. В рамках услуги осуществляется управление уязвимостями.

Пример схемы сети клиента Managed Services в защищенной PCI DSS инфраструктуре ИТ-ГРАД

Пример схемы сети клиента Managed Services в защищенной PCI DSS инфраструктуре ИТ-ГРАД

Консультация по услугам

Наши менеджеры с удовольствием ответят на Ваши вопросы и подготовят индивидуальное коммерческое предложение.