より多くの企業がPCI DSS準拠のホスティングに注意を払うにつれて、このタイプのサービスの提供の詳細についてお話ししたいと思います。
/写真kuhnmi CC
標準に関するいくつかの言葉
PCI DSS規格は 、カード会員データのセキュリティを確保することに関して、国際決済システムの要件を共通の要件にすることを目的として、2005年にリリースされました。 2012年半ば以降、WPCの保管、処理、転送に関与するすべての組織(ロシア企業を含む)は、PCI DSSに準拠する必要があります。
PCI DSSコンプライアンスの決定
会社がPCI DSSコンプライアンスについて監査される必要があるかどうかを理解するには、2つの質問に答える必要があります。
- 支払いカードのデータは組織内で保存、処理、または転送されていますか?
- 組織のビジネスプロセスは、支払いカードデータのセキュリティに直接影響しますか?
これらの質問の両方に否定的な回答をした場合、PCI DSS認定は必要ありません。それ以外の場合は、組織の標準の要件が必須になります。 この標準は12のセクションで構成され、データ処理に関する約400のセキュリティ要件が含まれていることに注意してください。
PCI DSSホスティングサービスの詳細
IT-GRADでは、市場調査を実施し、さまざまな企業がPCI DSSサービスを提供するためのオプションを評価しました 。 その結果、PCI DSSホスティングの最も一般的なサブクラスは、コロケーション、IaaSベーシック、およびIaaSアドバンスドであることがわかりました。
プロバイダーを選択する際には、ロシアのサプライヤーがデータセンターの機械室に機器を配置することをしばしば要約するサービス提供の規定された境界に注意を払う価値があることに注意すべきです。 これは、プロバイダーがコロケーションサービスを提供し、PCI DSSに従って物理的セキュリティのみを確保するための要件を満たすことを意味します。
外国のホスティングサイトについて話す場合、プロバイダーはほとんどの場合、IaaS Basicサービスを提供します。 この場合、顧客自身が標準で規制されている手順を実行し、サプライヤがエッジファイアウォール、ルーター、仮想化システム、およびその他のコンポーネントを構成します。
IaaS Advancedサービスは、クライアントが包括的なセキュリティベースで最も安全なクラウドを受信する場合に人気があります。 顧客はビジネスアプリケーションをクラウドに配置するだけで、ほとんどのPCI DSS要件はプロバイダーによって「クローズ」されます。
関連ソース:PCI DSS認定
IT-GRAD企業に関しては、認定されたクラウドPCI DSSホスティングのサービス、物理機器の場所(コロケーション)、およびIaaS BasicおよびIaaS Advancedサービスを提供しています。 次に、各タイプのサービスの機能を検討します。
コロケーション
データセンターに機器を配置するサービスには、確立された安全基準への準拠が必要です。 この場合、ビデオ監視システムと従業員識別システムが必須であるデータセンターへの制御およびアクセス制御の手段が使用されます。 配置されたすべての機器は、アクセスが規制されているロック可能なラックに配置されています。 同時に、サプライヤは、インベントリを定期的に実施し、インフラストラクチャで使用されるデバイスの操作性を検証する責任があります。 これは、PCI DSS規格の必須要件の1つです。
IaaSベーシック
IaaS Basicサービスを提供する場合、サプライヤーと顧客の義務は、確立された当事者の責任マトリックスに従って分割されます。 ベンダーは、顧客のインフラストラクチャの個々のコンポーネントを担当し、安全な構成とPCI DSS要件を考慮して開発された標準に従って調整を行います。
責任範囲の割り当てはさまざまな方法で行うことができます。 例として、IT-GRADでこれがどのように機能するかを見てみましょう。 インフラストラクチャはWebアプリケーションファイアウォールを使用しているため、クライアントがクラウドでホストしているアプリケーションを通過させることができ、アプリケーションを保護するための要件の一部が削除されます。
同時に、IT-GRADは新しい脆弱性の出現を定期的に監視し、システムの更新とリスクのランク付けに関するPCI DSS標準の6番目の要件を満たしています。 作業システムの調整が特別委員会による承認後にのみ行われる場合、変更管理プロセスも導入されています。 このアプローチにより、偶発的なエラーが回避されます。
さらに、プロバイダーの従業員は、ネットワークリソースへのアクセスを監視し、24時間年中無休でIPイベントを監視するため、インシデントが発生した場合に迅速に対応できます。
IaaS Advanced
高度な形式のサービスとしてのインフラストラクチャは、クライアントがセキュアなアプリケーションを開発およびサポートするだけのターンキーソリューションであり、コンポーネントの設定、シールド、アクセスの制限、チャネルの暗号化など、その他すべてのタスクがクラウドプロバイダーによって実装されます。
IaaS Advancedサービスを提供するには、プロバイダーは特定の要件を満たし、適切な技術ソリューションを適用する必要があります。 IT-GRADの例を使用して、それらのいくつかを考えてみましょう。
IaaS Advanced Servicesのテクノロジーソリューション
最初の要件は、デュアルファクター認証です。 たとえば、IT-GRADインフラストラクチャでは、ワンタイムトークンを生成するOTPサーバーが使用されます。ワンタイムトークンを使用して、管理および管理ノードがあるDMZゾーンへの転送でVPN接続を実行します。 このノードに接続すると、管理タスクを実行し、インフラストラクチャの個々のコンポーネントにアクセスできます。
2番目の要件は、ネットワークをゾーンに区切るネットワークファイアウォールです。 この場合、「許可されていないものは禁止されています」という原則に従います。 プロバイダーのインフラストラクチャは、IPS / IDS機能を備えたPalo Altoシステムも使用して、不正アクセス状況を特定し、新たな脅威を排除するための対策を講じています。 また、ここでは、顧客のホストにエージェントがインストールされた集中型ウイルス対策サーバーがよく使用されます。 これにより、ウイルスメッセージを検出してインシデントを迅速に生成し、記録されたイベントに対するCMシステムのその後の応答とともにメールを整理できます。
別の要件は、アプリケーションファイルの整合性を確保することです(ファイル整合性モニター)。 変更が行われると、チェックサムが変更され、これがインシデントの自動作成の理由になります。 さらに、FIMは重要なWindowsおよびLinuxファイルを監視します。 ファイルの整合性の操作の一環として、仮想マシンのスナップショットを毎日取得し、緊急時に元の動作状態に「ロールバック」できるようにします。
したがって、 PCI DSSホスティングサービスを使用すると、クライアントは、コスト削減やプロジェクトの迅速な開始の保証など、多くの利点を享受できます。 このアプローチにより、標準の要件の実装と監査の通過が簡素化され、コアビジネス開発に集中できるようになります。
結論として、PCI DSSホスティングサービスを提供する会社には有効な証明書が必要であり、提供されるサービスの境界はマネージドサービスプロバイダーの価値に対応している必要があることに注意してください。 これは、プロバイダーがPCI DSSホスティングサービスを提供する権利を持っていることを示唆しており、コロケーション、IaaSベーシック、およびIaaSアドバンスドのクラスに分類されています。