Лучший хостинг, соответствующий стандарту PCI, гарантирует, что ваш сайт обрабатывает платежные данные в соответствии со стандартами PCI DSS. Atlantic.Net, наша главная рекомендация, обеспечивает полностью соответствующую инфраструктуру, в то время как другие хосты в нашем списке предлагают конфигурации, соответствующие стандартам PCI, от предварительно настроенных серверов PCI до управляемой поддержки соответствия.
Выбор подходящего PCI-хоста зависит от того, как ваш бизнес обрабатывает транзакции. Крупномасштабным сайтам электронной коммерции требуются управляемые системы соответствия требованиям и интегрированные системы безопасности, в то время как предприятиям малого бизнеса выгодна инфраструктура, которая легко проходит сканирование PCI.
В этом руководстве мы сравниваем ведущих поставщиков хостинга, соответствующих стандарту PCI, и объясняем, какие варианты соответствуют различным моделям транзакций и требованиям безопасности.
| Хостинг провайдер | Главные преимущества | Управляемая поддержка PCI | Стартовая цена |
|---|---|---|---|
| Atlantic.Net | Полностью управляемый, VPN Включены лицензии, поддерживается гибкий частный, публичный и гибридный хостинг | Да. Соответствие требованиям PCI SOC 2, SOC 3и аудиты HIPAA. | $ 416.89 / мес |
| Жидкая сеть | Полностью управляемый, выделенный IP, расширенная безопасность | Да. Поддерживает соответствие PCI с пользовательскими конфигурациями. | $ 354.00 / мес |
| OVHоблако | DDoS защита, Высокая доступность, Гибкий хостинг | Только инфраструктура. Предлагает серверы, сертифицированные PCI DSS, для предприятий в Европе. | $ 3,194.60 / мес |
| InMotion Hosting | Серверы без операционной системы и выделенные серверы, управляемая безопасность. | Частично. Помогает в настройке сред, совместимых с PCI. | $ 35.00 / мес |
| Verpex | Облачный, VPS-хостинг с управляемыми услугами | Частично. Оказана помощь в достижении соответствия PCI. | $ 23.34 / мес |
Внимание: Наши HostScore Рейтинги предлагают широкий взгляд на производительность веб-хостинга, но ваши конкретные потребности в PCI-совместимом хосте могут отличаться. Это руководство предназначено для помощи читателям, которые активно ищут лучший PCI-хостинг на основе реальных вариантов использования и ключевых факторов принятия решений.
1. Atlantic.Net
Веб-сайт: https://www.atlantic.net/pci-compliant-hosting/
Atlantic.Net Компания специализируется на хостинговых средах, соответствующих требованиям законодательства, разработанных для отраслей, работающих с конфиденциальными данными, включая здравоохранение, финансы и электронную коммерцию. Компания управляет центрами обработки данных в США, соответствующими стандартам SSAE 18 и HIPAA. HITECHи поддержка PCI DSS, встроенная в его инфраструктуру.
Компании, которые выбирают Atlantic.Net Можно выбрать предварительно настроенные серверы, совместимые с PCI, или запросить управляемую поддержку для обеспечения постоянного соответствия. В отличие от хостов, где настройка PCI остаётся за клиентом, Atlantic.Net Интегрирует безопасность и аудит в своё основное предложение. Это делает компанию одним из самых надёжных вариантов для компаний, которые не могут позволить себе простои, утечки данных или неудачные сканирования PCI.
Каковы плюсы и минусы Atlantic.Net?
| Плюсы | Минусы |
|---|---|
| PCI DSS, HIPAA и HITECH соответствие требованиям из коробки | Более высокая начальная цена (247 долларов в месяц) по сравнению с бюджетными конкурентами |
| Центры обработки данных в США, Великобритании, Канаде и Сингапуре | |
| Нелимитированная пропускная способность 1 Гбит/с включена во все планы | |
| Дополнительная управляемая поддержка для обеспечения соответствия |
2. LiquidWeb
Веб-сайт: https://www.liquidweb.com/pci/
Жидкая сеть Компания позиционирует себя как полностью управляемый хостинг-провайдер с развитой поддержкой соответствия PCI. Компания специализируется на критически важных рабочих нагрузках, особенно для платформ электронной коммерции, таких как Magento и WooCommerce, а также агентства, управляющие клиентскими магазинами.
Компаниям, которым нужна помощь, служба поддержки Liquid Web оказывает помощь напрямую со сканированием, устранением неполадок и настройкой. Инфраструктура Liquid Web включает выделенные серверы и решения для частного облака с гарантией 100% бесперебойной работы сети. Liquid Web — отличный выбор для растущих компаний, желающих разгрузить хостинг и управление соответствием требованиям.
Каковы плюсы и минусы Liquid Web?
| Плюсы | Минусы |
|---|---|
| Доступны полностью управляемые среды, соответствующие стандарту PCI | Нет опций PCI на общих или базовых планах VPS |
| Особое внимание уделяется электронной коммерции (Magento, WooCommerce) | Премиальные цены по сравнению с бюджетными поставщиками |
| SLA с высоким временем безотказной работы (100% гарантия сети) | |
| Отличная репутация управляемой поддержки |
3. OVHоблако
Веб-сайт: https://www.ovhcloud.com/compliance/pci-dss/
OVHоблако — это базирующийся в Европе глобальный хостинг-провайдер, уделяющий особое внимание облачным и физическим серверным предложениям. Основанная в 1999 году, она управляет более чем 30 центрами обработки данных на нескольких континентах и обслуживает клиентов от стартапов до предприятий.
В то время как OVHОблако не обеспечивает автоматическое соответствие PCI DSS на всех тарифных планах. Его серверы корпоративного уровня и варианты частного облака можно настроить в соответствии со стандартом. Центры обработки данных компании сертифицированы по ISO/IEC 27001 и предлагают широкий выбор конфигураций сетей, хранилищ и систем безопасности. Это делает OVHОблако — практичный выбор для предприятий, которые уже имеют внутренний опыт обеспечения соответствия и хотят развернуть системы, готовые к PCI, в глобальном масштабе.
Каковы плюсы и минусы OVHоблако?
| Плюсы | Минусы |
|---|---|
| Гибкая инфраструктура для индивидуальных настроек соответствия | Соответствие требованиям PCI не является готовым; требуется настройка на стороне клиента |
| Доступные цены на высокопроизводительные серверы без ПО | Ограниченная управляемая поддержка по сравнению с конкурентами |
| Большая глобальная сеть центров обработки данных | |
| Объекты, сертифицированные по стандарту ISO/IEC 27001 |
4. InMotion Hosting
Веб-сайт: https://www.inmotionhosting.com/
InMotion Hosting — это давно существующий американский хостинг, известный своими удобными для бизнеса услугами и отзывчивой поддержкой. Основанный в 2001 году, он предлагает ряд вариантов хостинга, включая общий, VPS и выделенный хостинг.
InMotion Hosting Не предоставляет PCI-совместимые среды по умолчанию, но VPS и выделенные серверы можно настроить для прохождения PCI-сканирования. Это делает InMotion промежуточный вариант для малого бизнеса и разработчиков, которым нужна доступная инфраструктура, но которые готовы самостоятельно обеспечивать соответствие требованиям. InMotion включает в себя DDoS защита, дополнительная cPanel и круглосуточная поддержка в США.
Для стартапов или предприятий малого и среднего бизнеса, которые обрабатывают умеренный объем транзакций и имеют определенный технический опыт, InMotion предлагает экономичную точку входа в хостинг с поддержкой PCI.
Каковы плюсы и минусы InMotion Hosting?
| Плюсы | Минусы |
|---|---|
| Доступные точки входа для сред с поддержкой PCI | Соответствие стандарту PCI требует ручной настройки заказчиком. |
| Бесплатный перенос веб-сайтов и дополнительная cPanel | Меньше вариантов центров обработки данных по сравнению с другими |
| Сильная поддержка и документация для малого и среднего бизнеса | |
| Бесплатно SSL и миграции сайта включены |
5. Verpex
Веб-сайт: https://verpex.com/
Verpex — новый хостинг-провайдер, предлагающий облачный хостинг с упором на гибкость и поддержку. Хотя компания была основана в 2018 году, она быстро выросла с глобальной сетью центров обработки данных и white-label-решений для реселлеров.
Verpex Не предоставляет среды, соответствующие стандарту PCI DSS, по умолчанию. Пользователям, которым требуется хостинг PCI DSS, потребуется вручную настроить VPS или выделенные серверы для соответствия требованиям. Verpex включает в себя такие функции, как хранилище NVMe SSD, бесплатный SSLи круглосуточная поддержка не заменяют специализированные элементы управления, необходимые для PCI. Таким образом, Verpex лучше всего подходит разработчикам или компаниям, обладающим опытом настройки собственной системы, а не торговцам, которым требуется готовое решение для соответствия PCI.
Каковы плюсы и минусы Verpex?
| Плюсы | Минусы |
|---|---|
| Очень доступные цены на вход | По умолчанию нет сред, совместимых со стандартом PCI |
| Scalaоблачная инфраструктура ble | Ограниченная поддержка корпоративного уровня или расширенная помощь в обеспечении соответствия требованиям |
| Несколько глобальных центров обработки данных | |
| Гарантия возврата денег 45-day |
Настройка хостинга может быть сложной. Поэтому мы создали HostScore Помощь в настройке — готовая услуга по правильной настройке вашего хостинга.
Мы помогаем с SSL установка, настройка DNS и сервера имен, WordPress Установка или миграция, а также настройка безопасности. Единоразовая плата. Гарантия 100% возврата средств.
Ознакомьтесь с нашими услугамиКак сравниваются лучшие провайдеры хостинга, соответствующие стандарту PCI?
Лучшие провайдеры хостинга, соответствующие стандарту PCI, удовлетворяют различные бизнес-потребности в зависимости от бюджета, технических ресурсов и ожиданий в плане соответствия требованиям. В таблице ниже представлено наглядное сравнение функций, поддержки соответствия и цен.
| Хостинг провайдер | Главные преимущества | Управляемая поддержка PCI | Стартовая цена |
|---|---|---|---|
| Atlantic.Net | Полностью управляемый, VPN Включены лицензии, поддерживается гибкий частный, публичный и гибридный хостинг | Да. Соответствие требованиям PCI SOC 2, SOC 3и аудиты HIPAA. | $ 416.89 / мес |
| Жидкая сеть | Полностью управляемый, выделенный IP, расширенная безопасность | Да. Поддерживает соответствие PCI с пользовательскими конфигурациями. | $ 354.00 / мес |
| OVHоблако | DDoS защита, Высокая доступность, Гибкий хостинг | Только инфраструктура. Предлагает серверы, сертифицированные PCI DSS, для предприятий в Европе. | $ 3,194.60 / мес |
| InMotion Hosting | Серверы без операционной системы и выделенные серверы, управляемая безопасность. | Частично. Помогает в настройке сред, совместимых с PCI. | $ 35.00 / мес |
| Verpex | Облачный, VPS-хостинг с управляемыми услугами | Частично. Оказана помощь в достижении соответствия PCI. | $ 23.34 / мес |
Какой PCI-хостинг лучше всего подходит для интернет-магазинов?
Atlantic.Net Идеально подходит для интернет-магазинов, которые должны соответствовать строгим требованиям PCI DSS. Их хостинговые среды включают в себя такие функции безопасности, как настройка брандмауэра, шифрование резервных копий, ведение журнала аудита и обнаружение вторжений. Для владельцев магазинов, обрабатывающих платежи по кредитным картам напрямую, Atlantic.NetУправляемая структура соответствия требованиям значительно снижает риск неудачных сканирований, штрафов или блокировок транзакций.
Жидкая сеть Это ещё один отличный выбор для интернет-магазинов. Их управляемые сервисы PCI упрощают соблюдение требований WooCommerce or Magento пользователи, у которых может не быть ресурсов для самостоятельного внесения технических изменений.
Какой поставщик предлагает управляемое соответствие PCI?
Соответствие требованиям PCI означает, что хостер не только предоставляет соответствующую инфраструктуру, но и помогает выполнять повседневные требования. Это может включать настройку серверов, установку обновлений безопасности, ведение журналов и предоставление документации во время аудитов.
Atlantic.Net Предоставляет полностью управляемый сервис, соответствующий стандарту PCI, разработанный для отраслей, работающих с конфиденциальными данными, включая здравоохранение и финансы. Команда компании помогает настраивать среды, контролировать системы и сопровождать клиентов в процессе документирования и устранения неполадок.
Жидкая сеть Также предоставляется управляемый PCI-хостинг с мощной поддержкой платформ электронной коммерции и SaaS. Специалисты компании помогают с анализом пробелов, настройкой и подготовкой к аудиту, что помогает компаниям без выделенных DevOps-команд легче соблюдать требования.
Какой провайдер хостинга, совместимый с PCI, самый дешевый?
Verpex Предлагает самую низкую стоимость входа среди провайдеров в нашем списке: управляемый облачный хостинг стоит от 23.34 долларов в месяц. Однако Verpex По умолчанию соответствие PCI не включено. Вместо этого инфраструктуру можно вручную настроить для прохождения сканирования PCI DSS.
Это делает Verpex Привлекательный вариант для разработчиков или агентств, обладающих техническими знаниями и навыками самостоятельного обеспечения соответствия требованиям. Однако для компаний, активно обрабатывающих транзакции по кредитным картам, использование бюджетного хостинга без комплексного обеспечения соответствия требованиям повышает риск сбоев сканирования или дорогостоящих ошибок в настройке. В большинстве случаев самый дешевый хостинг — не самый безопасный вариант для рабочих нагрузок, чувствительных к PCI.
Может ли общий хостинг соответствовать стандарту PCI?
Нет, виртуальный хостинг не может соответствовать стандартам PCI DSS, поскольку в этой среде несколько клиентов работают на одном сервере. Отсутствие изоляции не позволяет компаниям применять собственные правила брандмауэра, системы журналирования и средства контроля безопасности. Для соответствия PCI вам потребуется как минимум VPS, облачный сервер или выделенный сервер, где вы сможете настраивать доступ, устанавливать обновления и поддерживать настройки, готовые к аудиту.
На какие функции следует обращать внимание при выборе PCI-совместимого хостинга?
Среда хостинга, соответствующая стандарту PCI, должна защищать данные держателей карт и поддерживать безопасные конфигурации. Как минимум, сервер должен включать в себя строгий контроль доступа, зашифрованное хранилище, сканирование уязвимостей и функции отчетности для подтверждения соответствия требованиям во время аудита.
Основные характеристики PCI, на которые следует обратить внимание:
- Выделенный IP-адрес и SSL сертификат – основные требования к безопасности транзакций.
- Межсетевые экраны и системы обнаружения вторжений (IDS/IPS) – для блокирования несанкционированного доступа.
- Шифрование – защита данных держателей карт как при передаче, так и при хранении.
- Управление уязвимостями – регулярные сканирования, исправления и обновления.
- Контроль доступа – ограничение доступа к данным и системе только для авторизованных пользователей.
- Непрерывный мониторинг – ведение журнала и оповещение о подозрительной активности.
- Отчетность о соответствии – Отчеты о сканировании PCI, аудиторская документация и записи об исправлениях.
Какие хостеры предлагают предварительно настроенные серверы, совместимые с PCI?
Некоторые хостинг-провайдеры предоставляют серверы, уже настроенные для соответствия стандарту PCI DSS, что экономит ваше время и силы на самостоятельную настройку средств безопасности. Эти предварительно настроенные среды включают в себя брандмауэры, ведение журналов, шифрование и поддержку аудита в рамках пакета.
- Atlantic.Net Предоставляет предварительно настроенные PCI-совместимые серверы с управляемой поддержкой. Их среды сертифицированы на соответствие PCI, HIPAA и HITECH, что делает их одними из наиболее готовых решений, доступных на рынке.
- Жидкая сеть Также предлагается управляемый PCI-хостинг, где настройка и обслуживание соответствия требованиям выполняются службой поддержки. Это отличный вариант для интернет-магазинов или SaaS-платформ без собственного опыта DevOps.
- OVHоблако, InMotion Hosting и Verpex не поставляют продукты, соответствующие стандартам PCI по умолчанию. Их инфраструктуру можно настроить в соответствии со стандартами PCI DSS, но ответственность за настройку и постоянное соответствие лежит на заказчике.
Какие популярные хосты по умолчанию не поддерживают PCI?
Важно развеять некоторые заблуждения, публикуемые в партнёрских блогах. Во многих статьях универсальные хосты называются «совместимыми с PCI», хотя они не обеспечивают необходимую среду:
- Hostinger – Hostinger не предлагает среды, соответствующие стандарту PCI. В их общих и облачных тарифных планах отсутствуют необходимые функции изоляции и ведения журналов. Хотя VPS технически можно настроить, совместимость с PCI не поддерживается изначально.
- WP Engine – WP Engine обеспечивает безопасное управление WordPress Хостинг, но не сертифицирован PCI DSS. Они настоятельно рекомендуют использовать сторонние платёжные шлюзы (например, Stripe или PayPal) вместо обработки данных держателей карт непосредственно на WP Engine сервера.
- Bluehost – Виртуальный хостинг и VPS от Bluehost не соответствуют требованиям PCI. Для достижения соответствия потребуется ручная настройка сервера, и в документации компании подтверждается, что они не соответствуют требованиям PCI по умолчанию.
Эти хосты могут отлично подойти для других случаев использования (WordPress(бюджетные сайты, малый бизнес), но они не подходят компаниям, которые обязаны соответствовать стандарту PCI DSS. Если вы видите, что они рекомендованы как «соответствующие PCI», вероятно, источник ставит партнёрские комиссии выше точности.
Почему это различие имеет значение?
Компании, обрабатывающие платежи по кредитным картам напрямую, рискуют получить штрафы, заблокировать транзакции или увеличить комиссию за обработку, если используют хост, не соответствующий стандарту PCI. Выбор предварительно настроенного PCI-хоста, например Atlantic.Net или Liquid Web снижает этот риск и гарантирует готовность ваших систем к аудиту с первого дня.
Какие инструменты и службы поддерживают соответствие стандарту PCI?
Хостинг-провайдеры закладывают основу, но для обеспечения соответствия PCI требуются дополнительные инструменты и услуги. Эти решения обеспечивают шифрование, выполняют сканирование на уязвимости, обнаруживают вторжения и создают отчёты для подтверждения соответствия требованиям во время аудитов.
Ниже приведен список рекомендуемых инструментов соответствия PCI, сгруппированных по функциям:
| Категория | Примеры | Что они делают |
|---|---|---|
| Сканирование и оценка уязвимостей | Qualys, Trustwave, ControlScan | Проводите ежеквартальные сканирования в соответствии с требованиями PCI DSS, выявляйте неправильные конфигурации и известные уязвимости. |
| Обнаружение и предотвращение вторжений (IDS/IPS) | OSSEC, Snort | Контролируйте трафик сервера, выявляйте подозрительную активность и блокируйте попытки вторжения. |
| Шифрование и управление ключами | Давайте зашифруем (SSL/TLS), Хранилище HashiCorp | Шифруйте данные держателей карт при передаче и хранении; безопасно управляйте ключами шифрования. |
| Мониторинг журналов и SIEM | Splunk, AlienVault (AT&T Cybersecurity) | Объединяйте системные журналы, отмечайте аномалии и предоставляйте готовые к аудиту отчеты. |
| Контроль доступа и аутентификация | Duo Security (MFA), Okta | Внедрите многофакторную аутентификацию, ограничьте доступ только авторизованным персоналом. |
| Панели мониторинга аудиторской отчетности и соответствия требованиям | Trustwave, ControlScan | Предоставляйте панели мониторинга соответствия, рекомендации по устранению неполадок и загружаемые отчеты PCI для банков или аудиторов. |
Для большинства предприятий хостинг-провайдер не поставляет все эти инструменты из коробкиСочетание хостинга, соответствующего стандарту PCI, с правильными сторонними сервисами снижает риски и повышает шансы на прохождение аудита соответствия с первой попытки.
Что произойдет, если ваш веб-сайт не пройдет проверку на соответствие PCI?
Непрохождение сканирования на соответствие PCI DSS подвергает ваш бизнес немедленному финансовому и операционному риску. Банки-эквайеры и платёжные системы используют сканирование PCI DSS для подтверждения того, что ваш сайт может безопасно обрабатывать данные держателей карт. Непрохождение сканирования может повлечь за собой ряд последствий:
- Более высокие комиссии за транзакции – Платежные системы могут повышать тарифы до тех пор, пока вы не устраните неполадки.
- Блокировка транзакций – В серьезных случаях банки могут приостановить вашу возможность принимать платежи по кредитным картам.
- Штрафы и пени – Штрафы за несоблюдение требований могут составлять от сотен до тысяч долларов в месяц.
- Ущерб бренду и доверию клиентов – Несоответствие статусу PCI может подорвать доверие клиентов и нанести ущерб продажам.
- Повышенная ответственность после нарушения – Если утечка данных произойдет в тот момент, когда вы не соблюдаете требования, вы можете быть привлечены к полной ответственности за ущерб и потери от мошенничества.
Неудачное сканирование не всегда означает, что ваша компания немедленно теряет статус PCI. Большинство поставщиков услуг сканирования предоставляют вам период времени для устранения уязвимостей, перенастройки серверов или обновления программного обеспечения перед повторной отправкой результатов сканирования. Однако повторные неудачные попытки сканирования указывают на небезопасность вашей среды и могут привести к более строгому мониторингу или закрытию вашего торгового счёта.
Для предприятий, которые полагаются на платежи по кредитным картам, выбор хоста с предварительно настроенным соответствием PCI и надежной поддержкой (например, Atlantic.Net или Liquid Web) значительно снижает риск неудачного сканирования в первую очередь.
Что означает соответствие PCI в сфере веб-хостинга?
Соответствие требованиям PCI в сфере веб-хостинга означает, что серверная среда и операционные процессы соответствуют стандарту PCI DSS, установленному Советом по стандартам безопасности PCI. Любой веб-сайт, хранящий, обрабатывающий или передающий данные держателей карт, должен использовать технические и административные средства контроля для защиты этих данных на каждом этапе.
С точки зрения хостинга, соответствие PCI требует наличия безопасной и хорошо обслуживаемой среды. Ваш сервер должен поддерживать зашифрованные соединения, обеспечивать строгие настройки безопасности, регулярно устанавливать исправления, развертывать межсетевые экраны, ограничивать доступ по принципу минимальных привилегий, вести журналы и записывать аудиторские данные. Ответственность за выполнение этих задач различается в зависимости от типа хостинга: управляемые PCI-хосты обычно охватывают большинство элементов управления, в то время как VPS, облачные или выделенные серверы передают большую часть ответственности клиенту.
Если ваша рабочая нагрузка попадает под действие PCI, а среда не соответствует требованиям, вы рискуете не пройти аудит, получить повышенные сборы за обработку, получить финансовые штрафы или потерять право принимать карты.
Чем хостинг, соответствующий стандарту PCI, отличается от обычного хостинга?
В среде, соответствующей стандарту PCI, реализованы специальные технические и эксплуатационные элементы управления, требуемые стандартом PCI DSS. Обычный хостинг ставит во главу угла доступность и производительность, но не гарантирует соответствие проверенным базовым показателям безопасности.
| Район | PCI-совместимый хостинг | Обычный Хостинг |
|---|---|---|
| Изоляция и контроль | Выделенная/VPC-сегментация; клиент контролирует конфигурации | Общая или общая изоляция; ограниченный контроль |
| Базовый уровень безопасности | Защищенная ОС, безопасные конфигурации, контроль изменений | Максимально эффективное укрепление; варьируется в зависимости от плана |
| Шифрование | TLS в пути; зашифрованное хранилище и ключи | Только TLS; шифрование в состоянии покоя может быть необязательным |
| Межсетевые экраны и IDS/IPS | Поддерживаются управляемые брандмауэры, WAF, IDS/IPS | Базовый межсетевой экран; IDS/IPS включены редко |
| Регистрация и мониторинг | Централизованные журналы, сохранение, защита от несанкционированного доступа | Базовые журналы; сохранение не гарантируется |
| Управление уязвимостями | ASV-сканирование, исправление SLA, отслеживание исправлений | Специальные обновления; отсутствие рабочего процесса ASV |
| Контроль доступа | MFA, доступ на основе ролей, минимальные привилегии | Стандартный доступ к панели; MFA опционально |
| Аудит Поддержка | Отчеты о сканировании, пакеты доказательств, помощь с документацией | Нет документации о соответствии |
| Стоимость и сложность | Более высокая стоимость; меньший аудиторский риск | Более низкая стоимость; соответствие требованиям остается за вами |
Что означает, когда организаторы говорят: «Мы поможем вам пройти сканирование PCI»?
Когда хостинг-провайдер говорит, что помогает вам пройти сканирование PCI, это означает, что его служба поддержки помогает с технической настройкой, необходимой для соответствия контрольному списку утвержденного поставщика услуг сканирования (ASV), а не то, что сам провайдер сертифицирован от вашего имени.
На практике такая поддержка обычно включает:
- Установка и проверка ТЛС/SSL сертификаты
- Отключение слабые шифры или устаревшие протоколы
- Закаливание основные службы, такие как SSH, PHPи движки баз данных
- Настройка и настройка брандмауэр или политики WAF для блокирования несанкционированного трафика
- Закрытие открыть порты и удалить системные службы по умолчанию
- Применение исправления системы и приложений для устранения уязвимостей
- Подготовка / обзор документация, необходимая для проверки ASV
Эти действия повышают уровень безопасности вашей среды и позволяют ей пройти сканирование на наличие уязвимостей PCI. Однако они не сертифицируют вашу компанию как соответствующую PCI.
Постоянное соответствие требованиям по-прежнему зависит от ваших собственных операционных средств контроля, включая постоянное исправление ошибок, аудит журналов, управление доступом, сканирование уязвимостей и подачу требуемых SAQ или ROC.
Рассматривайте эту услугу как выравнивание сканирования, а не как полную сертификацию PCI.
Что означает, что хост не соответствует стандарту PCI?
Когда провайдер заявляет, что не предлагает среды, совместимые со стандартом PCI (что характерно для хостов общего назначения, таких как BlueHost, WP Engine или Hostinger), платформа не была разработана и не прошла валидацию на соответствие стандарту PCI DSS. У вас может отсутствовать необходимая изоляция, надежные базовые показатели и поддержка аудита, даже если производительность отличная.
У вас все еще есть жизнеспособные пути вперед:
- Уменьшите объем работ с помощью стороннего процессора. Используйте Stripe, PayPal или Square, чтобы данные карты никогда не попадали на ваш сервер. Это может привести к более лёгкому SAQ и снижению риска.
- Настройте VPS/выделенный/облачный сервер для PCI. Используя правильные элементы управления (межсетевой экран, ведение журналов, шифрование, сканирование ASV, MFA, исправление), вы можете пройти сканирование, но работать вы будете самостоятельно.
- Перейдите на готовый PCI-хост. Провайдеры любят Atlantic.Net или Liquid Web предлагают предварительно настроенные среды и активную поддержку аудита и устранения неполадок.
Выберите вариант, соответствующий вашей готовности к риску, бюджету и навыкам работы команды. Если вы планируете обрабатывать данные карт напрямую, предварительно настроенный PCI-хост обычно стоит дороже, но снижает сложности аудита и риск взлома в будущем.
Соответствуют ли платформы облачного хостинга требованиям PCI?
Облачный хостинг масштабирует ресурсы на распределённых серверах, но эта гибкость не гарантирует соответствия PCI. Крупные платформы, такие как AWS, Google Cloud и Microsoft Azure обеспечивают инфраструктуру и средства контроля безопасности, необходимые для PCI DSS, однако соответствие никогда не достигается автоматически.
Вам необходимо самостоятельно настраивать брандмауэры, применять шифрование, управлять доступом и выполнять сканирование PCI.
Например:
- AWS предлагает услуги, проверенные на соответствие стандарту PCI DSS, но клиенты по-прежнему несут ответственность за обеспечение безопасности рабочих нагрузок, управление ключами и ведение журналов.
- Google Cloud и Azure также поддерживают сертификацию PCI DSS на уровне платформы, но соответствие требованиям распространяется только на сервисы, которые они обслуживают, а не на ваши приложения или конфигурации.
- DigitalOcean Предоставляет безопасный облачный хостинг (см. скриншот выше), но не рекламирует среды, соответствующие стандарту PCI DSS. Клиенты должны самостоятельно настраивать серверы и проходить проверки.
Такая схема известна как модель совместной ответственности. Поставщик обеспечивает безопасность базовой инфраструктуры, а вы несёте ответственность за операционные системы, приложения и данные. Облачный хостинг может полностью соответствовать требованиям PCI, но только при наличии у вас опыта, процессов или партнёра по управлению, который сможет правильно настроить и поддерживать его.
Почему соблюдение требований PCI является общей ответственностью?
Даже если вы выбираете поставщика услуг PCI с полным управлением, соблюдение требований — это не то, что вы можете полностью переложить на себя. Такие хосты, как Atlantic.Net и Liquid Web берут на себя тяжелую работу — межсетевые экраны, обнаружение вторжений, ведение журналов и аудит документации — но компаниям по-прежнему необходимо управлять собственными приложениями, доступом пользователей и гигиеной безопасности.
Подумайте об этом так: хостер блокирует инфраструктуру, а вы контролируете взаимодействие вашего сайта и команды с этой средой. Обе стороны должны внести свой вклад, чтобы обеспечить соблюдение требований во время аудита.
Вот как обычно распределяются обязанности:
| Поставщики хостов PCI | Владельцы бизнеса |
|---|---|
| Сетевой брандмауэр и WAF установлены | Обновляйте приложение/CMS; удаляйте опасные плагины |
| Сегментация сети (веб/приложение/база данных) | Разделяйте этапы разработки, разработки и производства; не делитесь секретами |
| Защита от DDoS/IDS работает | Реагируйте на оповещения; расследуйте необычные входы в систему |
| Централизованные журналы включены и сохранены | Регулярно просматривайте журналы; устанавливайте простые оповещения |
| Инструменты для резервного копирования и восстановления серверов | Тестовое восстановление; знание сроков хранения и местоположений |
| Укрепление ОС и исправления (управляемые планы) | Быстрое обновление приложений, тем и библиотек |
| ТЛС/SSL поддержал | Форс-мажор HTTPS; исправить проблемы со смешанным содержимым |
| Доступ к предоставленным инструментам и ролям | Минимальные привилегии; включить MFA; удалить старые учетные записи |
| Физическая безопасность в центрах обработки данных | Выберите регионы, которые соответствуют вашим потребностям/требованиям |
| Настройка, удобная для сканирования ASV | Планирование сканирования; исправление результатов; отслеживание статуса |
| Доступны документы по управлению/архитектуре | Сохранение политик: развертывание, журнал изменений, шаги инцидента |
Главный вывод: можно передать на аутсорсинг инфраструктуру, но не подотчетность.
Управляемые PCI-хосты снимают с вас большую часть технической работы, в то время как облачные платформы, такие как AWS или GCP, предполагают, что вы будете управлять практически всем самостоятельно.
Заключительные мысли: какой PCI-совместимый хост выбрать?
Выбор подходящего хостинга, соответствующего требованиям PCI, зависит не столько от конкретных брендов, сколько от того, как ваш бизнес обрабатывает платежи. Если вы обрабатываете большой объём транзакций или работаете в регулируемой отрасли, вам, вероятно, понадобится управляемая среда хостинга, в которой будут реализованы все необходимые средства контроля соответствия, такие как межсетевые экраны, ведение журналов и отчётность аудита.
Небольшие компании или технически подкованные команды могут предпочесть более гибкую инфраструктуру, которую можно настроить в соответствии с требованиями PCI DSS, даже если она не соответствует им по умолчанию. Этот вариант может сэкономить деньги, но требует наличия собственных специалистов для управления сканированием, установкой исправлений и аудитом безопасности.
В любом случае, соответствие требованиям PCI — это больше, чем просто прохождение ежеквартальной проверки. Это непрерывный процесс, который защищает вашу способность принимать платежи по картам, поддерживает доверие клиентов и снижает ответственность в случае нарушения.
Если вы не уверены, какой путь подходит вашей ситуации, HostScore предлагает бесплатные рекомендации и инструменты, которые помогут вам сравнить решения хостинга, смета расходов и принять уверенное решение.
