PCI DSSホスティング：知っておくべきこと

最近、IT-GRAD では、クラウドインフラストラクチャをPCI DSS標準に準拠するように再認証し 、PCI DSSマネージドサービスプロバイダーの証明書を受け取りました。つまり、PCI DSSホスティングサービスを提供できます。 次に、それが何であるかを説明し、既存のタイプのサービス（コロケーション、IaaSベーシック、IaaSアドバンスド）を紹介します。





/写真ニール・ターナー CC

PCI DSSホスティングとは何ですか？

PCI DSS規格は 、VisaおよびMasterCardカード所有者と協力する企業が従わなければならない一連の要件です。 ホスティングPCI DSSは、顧客が標準の要件を満たす責任の一部をプロバイダーにシフトできるようにするサービスです。 このサービスにより、電子決済システムの市場参加者は、PCI DSSの認証とコンプライアンスのプロセスを簡素化できます。



PCI DSSホスティングプロバイダーは、さまざまな方法を使用してカード所有者情報を保護します。 12の PCI DSS 要件のそれぞれを満たす責任範囲は、クライアントとプロバイダーの間で締結された契約に応じて、クライアントとプロバイダーの間で分配されます。 ただし、多くの場合、オペレーターはネットワーク、データの保護、および情報への物理的アクセスの制御について責任を負います。



信頼できるネットワークを構築するために、プロバイダーは PCI DSS 要件に基づいた一連のセキュリティツールを使用し ます 。 このセットには、ファイアウォール、ネットワーク監視ソリューション、およびWAFが含まれます。 さらに、プロバイダーは、各ユーザーのFTP / SSH接続をすべてのマシンに制限し、スクリプト（たとえば、sshd_sentry）を使用して、ログイン試行が失敗したIPアドレスをブロックします。



また、このプロバイダーは、ウイルス対策ソフトウェア、2要素認証、トラフィック暗号化、およびバックアップによりカード会員データを保護します。 プロバイダーは、機器の「物理的保護」も担当します（独自のデータセンターがある場合）。 ただし、多くの場合、この責任は、プロバイダーがラックを設置するデータセンターの従業員にあります。 たとえば、ロシアの機器は、モスクワデータスペースとサンクトペテルブルクゼレントの2つのデータセンターにあり、Uptime InstituteのTier IIIカテゴリで認定されています。





/写真Blue Coat Photos CC

ホスティングPCI DSSのタイプ

調査によると、最も一般的なPCI DSSホスティングオプションは 、コロケーション、IaaS BasicおよびIaaS Advancedです。

コロケーション

この場合、クライアントはオペレーターのデータセンターにハードウェアを配置します。 プロバイダーは機器の安全性を確保する責任があります。ビデオ監視はデータセンターで機能し、従業員は識別管理に合格し、鉄は安全なラックに配置する必要があります。 さらに、サービスプロバイダーは、機器の定期的な検査とチェックを行い、不具合がないかどうかを確認します。

IaaSベーシック

クライアントは、カード会員データの保存、マルウェア保護、アプリケーションセキュリティを担当します。 プロバイダーは、データへの物理アクセスを制限する責任があります。 残りのPCI DSS要件は、作成された契約に応じて関係者間で分配されます。



たとえば、WAFがあるため、クライアントではなくアプリケーションを保護するための要件の一部を提供できます。 ただし、システムの更新とリスクの特定も担当できます。 当社の従業員は、迅速に対応するために24時間IPイベントを監視しています。



IaaS基本スキームでの配置の成功例は、 RFI銀行です。 同社は電子商取引の分野で事業を展開しているため、PCI DSS規格の12の要件すべてに準拠する必要があります。 私たちのチームは、銀行のクラウドインフラストラクチャを完全に管理します。

IaaS Advanced

IaaS Advancedサービスは、プロバイダーがPCI DSS標準のほぼすべての要件を満たす責任を負うことを意味します。これには、インフラストラクチャコンポーネントとネットワークの構成が含まれます。 クライアントはセキュアなアプリケーションのみを書き込みます。



IaaS Advancedサービスを提供するには、ベンダーはいくつかの要件を満たしている必要があります。 これらの最初は、2FAの存在です。 これらの目的のために、ワンタイムトークンを生成するOTPサーバーがあります。



もう1つの要件は、ファイアウォールの存在です。 ネットワークの問題では、私たちは常に「許可されていないものはすべて禁止する」という原則に取り組んでいます。 IPS / IDSサポートを備えたPalo Altoソリューションを使用して、不正な接続を追跡し、脅威に迅速に対応します。



最後に、3番目の要件は、LinuxおよびWindowsオペレーティングシステムのファイルを含むファイルの整合性を監視するFile Integrity Monitorシステムの可用性です。 さらに、障害が発生した場合に情報を復元できるように、毎日VMバックアップを作成します。

何を選ぶか

Cognizantのアナリストは 、PCI DSS要件は銀行、小売チェーンなどの大規模組織に準拠するのが難しいと強調しています。 したがって、IaaS BasicまたはAdvancedをホストする可能性が高くなります。 支払いカードのデータを扱う他のすべての企業は、コロケーションサービスを使用できます。



調査では 、電子決済を扱う企業の77％がクラウドベンダーのサービスを利用していることが示されました。 同時に、調査対象の組織は、ほと​​んどの場合、コロケーションサービスを選択しています（42％）。 それにもかかわらず、IaaS BasicおよびIaaS Advancedサービスは徐々に勢いを増しており、回答者の32および21％がそれらを選択しています。 したがって、組織は、PCI DSS要件の実装に対する責任をプロバイダーに徐々に移し始めると想定しています。

---

PS First Enterprise IaaSブログのPCI DSS認定に関する記事：

• クラウドサービス「PCI DSSホスティング」：このサービスに役立つもの
• PCI DSS向けIaaSクラウドの認定方法： パート1 、 パート2
• クラウドPCI DSSホスティングサービスを選択する際の注意事項
• PCI DSS認定の落とし穴：CVVおよび電話録音