Соответствие платежных систем стандартам PCI определяется как инфраструктурными особенностями, так и безопасностью приложений.
Выбор хостинга влияет на то, как определяются среды обработки данных держателей карт, насколько широка область аудита и насколько легко можно продемонстрировать соответствие требованиям. На практике решения, касающиеся инфраструктуры, часто определяют сложность соответствия требованиям PCI задолго до оценки каких-либо мер безопасности.
Что ожидает PCI DSS от хостинговой инфраструктуры?
Стандарт PCI DSS устанавливает четкие требования к тому, как инфраструктура хостинга определяет, изолирует и регулирует доступ к среде обработки данных держателей карт (CDE).
С точки зрения инфраструктуры, стандарт PCI касается того, насколько четко системы, хранящие, обрабатывающие или передающие данные карт, отделены от всего остального, контролируется ли и отслеживается ли доступ к этим системам, а также можно ли отследить и защитить результаты деятельности в ходе аудита. Эти требования применимы независимо от модели размещения; разница заключается в том, насколько легко инфраструктура может поддерживать четкие границы, определенное право собственности и надежные доказательства без увеличения риска или сложности аудита.
Почему область действия стандарта PCI является проблемой основной инфраструктуры?
В ходе аудита PCI «область охвата» определяет, какие системы, сети и компоненты подпадают под требования соответствия. Все, что находится в пределах области охвата, должно соответствовать требованиям PCI. Все, что находится за ее пределами, не соответствует. Чем шире область охвата, тем больше усилий по аудиту, операционная нагрузка и подверженность рискам.
Решения, касающиеся инфраструктуры, напрямую влияют на масштаб проекта. Общие компоненты, унаследованные зависимости и нечеткие границы, как правило, приводят к включению большего количества систем в среду разработки. Это увеличивает число активов, которые необходимо отслеживать, документировать и проверять в ходе аудитов.
В результате многие Решения по хостингу PCI Все они создаются с одной целью: максимально уменьшить, изолировать и четко определить среду обработки данных держателей карт. Инструменты безопасности помогают, но именно масштаб в конечном итоге определяет сложность соблюдения требований PCI.
Использование аппаратного обеспечения без операционной системы (Bare Metal) как стратегии инфраструктуры PCI.
Запуск платежных систем на физических серверах с одним арендатором, использование «голого железа» сокращает количество общих инфраструктурных уровней, которые усложняют определение области действия стандарта PCI. Меньшее количество унаследованных компонентов означает более четкие границы между тем, что входит в область действия стандарта, и тем, что не входит.
Также упрощается определение границ ответственности. Хостинг-провайдер управляет физическим оборудованием, в то время как организация сохраняет прямой контроль над операционной системой, конфигурацией сети и средствами безопасности, которые оценивают аудиторы.
Использование "чистого железа" само по себе не делает систему соответствующей стандарту PCI. Оно обеспечивает более чистую модель выполнения, где изоляция понятна, права собственности четко определены, а поведение инфраструктуры предсказуемо. Для платежных систем, соответствующих стандарту PCI, эти характеристики напрямую способствуют контролю области действия и защите от аудита.
Разработка PCI CDE на аппаратном обеспечении
После определения области применения PCI, следующая задача — разработка среды обработки данных держателей карт, которую можно последовательно защищать.
На уровне аппаратного обеспечения это начинается с установления четких границ вокруг систем, которые хранят, обрабатывают или передают данные держателей карт. Только эти системы должны находиться внутри среды обработки данных (CDE). Все вспомогательные сервисы (включая логику приложений, инструменты мониторинга, аналитические платформы и точки доступа к административным ресурсам) должны быть намеренно выведены за пределы этих границ.
Поскольку инфраструктура на физическом оборудовании является однопользовательской, решения по сегментации проще обосновать. Границы сети можно установить без использования общих уровней виртуализации, а пути доступа к административным ресурсам можно жестко ограничить, чтобы уменьшить непреднамеренное взаимодействие с системами, входящими в область действия.
Аудиторские доказательства на аппаратном обеспечении: журналы событий, доступ и отслеживаемость.
После установления границ, аудит PCI фокусируется на том, можно ли доказать наличие деятельности внутри этих границ.
Аудиторы ожидают от организаций демонстрации того, кто получал доступ к системам CDE, какие действия были предприняты и когда эти действия произошли. Журналы должны быть идентифицируемыми, храниться и быть защищены от несанкционированного изменения. Записи о доступе должны соответствовать определенным ролям и процессам утверждения.
Использование аппаратного обеспечения упрощает эту цепочку доказательств, поскольку право собственности на инфраструктуру однозначно определено. Журналы событий поступают из систем с одним арендатором, а не из общих сред, что снижает необходимость согласования унаследованных или абстрагированных источников данных во время аудитов.
Такая ясность повышает отслеживаемость. Когда поведение системы предсказуемо и изолировано, сопоставление событий доступа, изменений конфигурации и хронологии инцидентов становится более простым. В средах, соответствующих требованиям PCI, более четкие доказательства снижают сложности аудита и ограничивают последующие проверки.
Управление изменениями и установка исправлений в средах PCI
Одних доказательств недостаточно, если поведение инфраструктуры непредсказуемо меняется с течением времени. PCI рассматривает изменения как событие, требующее соблюдения нормативных требований.
Обновления систем, подпадающих под действие программы, должны соответствовать определенным процедурам утверждения, запланированным окнам технического обслуживания и документированным этапам проверки. Развертывание исправлений и изменения конфигурации требуют обеспечения отслеживаемости и планирования отката.
В средах без операционной системы этот подход поддерживается тем, что изменения вносятся только по инициативе организации. Аппаратное обеспечение остается неизменным, а обновления программного обеспечения происходят в соответствии с внутренним графиком, а не запускаются платформенными изменениями, находящимися вне контроля организации.
Для платежных систем такая предсказуемость имеет значение. Контролируемые изменения снижают риск случайного расширения области действия и исключений при аудите, вызванных незадокументированными или внесенными извне модификациями.
Оперативная ответственность: чего не решает использование "голого металла"
Использование аппаратных средств упрощает выполнение требований PCI, уточняя права собственности, но не снимает ответственности. Организации по-прежнему несут ответственность за контроль доступа, мониторинг, реагирование на инциденты и практику документирования, которые оценивают аудиторы.
Это различие важно, потому что инфраструктуру, "готовую к PCI", часто ошибочно принимают за саму инфраструктуру, соответствующую требованиям стандарта.
Внедрение решений непосредственно на аппаратном уровне может уменьшить неопределенность и сложность масштаба, но результаты соответствия требованиям зависят от того, как системы эксплуатируются в повседневной работе.
Насколько эта операционная ответственность будет поддерживаться (или полностью возложена на клиента), во многом зависит от того, как хостинг-провайдер предоставляет пакеты услуг для обеспечения соответствия стандартам PCI.
Как провайдеры упаковывают «голые» серверы для хостинга, соответствующего стандарту PCI?
Практическая разница между провайдерами, предоставляющими хостинг на выделенных серверах, проявляется на уровне тарифных планов и структуры услуг, а не на уровне оборудования. После обзора и сравнения широкого спектра предложений по хостингу на выделенных серверах и выделенных локациях мы постоянно видим два различных подхода. Для наглядной иллюстрации мы используем InMotion Hosting и Atlantic.Net в качестве примеров — не потому, что это единственные жизнеспособные варианты, а потому, что они представляют собой две разные, хорошо реализованные модели, с которыми часто сталкиваются покупатели, заинтересованные в соответствии стандарту PCI.
Atlantic.Net: Упаковка из необработанного металла с учетом требований соответствия
Atlantic.Net Компания строит свои предложения по предоставлению услуг "bare metal" вокруг регулируемых и чувствительных к соблюдению нормативных требований сценариев использования. В описаниях планов и сопроводительной документации "bare metal" позиционируется как инфраструктура, разработанная для сред, где объем аудита, изоляция и границы ответственности должны быть четко определены с самого начала.
Согласно нашему анализу, данная упаковка хорошо согласуется с платежными системами PCI, которые требуют стабильной, долгосрочно работающей инфраструктуры и четко определенных сред обработки данных держателей карт. Акцент делается не столько на гибкости или быстрых изменениях, сколько на предсказуемости, выделенных ресурсах и ясности инфраструктуры. Хотя ответственность за соответствие требованиям PCI по-прежнему лежит на клиенте, Atlantic.NetБлагодаря такому позиционированию, сопоставление развертываний на физическом оборудовании с требованиями аудита происходит без излишней интерпретации.
Такой подход, как правило, находит отклик у организаций, которые уже понимают требования PCI и хотят иметь инфраструктуру, которая органично вписывается в существующие рабочие процессы обеспечения соответствия и аудита.
InMotion Hosting«Голый металл» как гибкая инфраструктура с полным контролем.
InMotion Hosting Этот подход рассматривает предоставление услуг хостинга на физическом оборудовании с более традиционной точки зрения. Планы хостинга на физическом и выделенном оборудовании делают упор на полное выделение аппаратных ресурсов, гибкость конфигурации и опциональные уровни управления, предоставляя клиентам возможность гибко создавать и эксплуатировать свои среды.
С наш опыт обзора InMotion HostingЭта модель хорошо подходит для команд, которые хотят контролировать свою архитектуру PCI, сохраняя при этом возможность добавления поддержки там, где это необходимо. Соответствие требованиям PCI не подразумевается самим планом; вместо этого оно зависит от того, как клиенты проектируют сегментацию, управляют контролем доступа и документируют процессы соответствия требованиям поверх инфраструктуры.
Для платежных систем, соответствующих стандарту PCI, это означает следующее: InMotion HostingИспользование "голого железа" может быть отличным решением, если внутренние команды готовы полностью взять на себя обеспечение соответствия нормативным требованиям, используя среду хостинга в качестве гибкой основы, а не решения, ориентированного исключительно на соблюдение требований.
HostScoreМнение эксперта: Почему упаковка имеет значение для PCI
Оба подхода допустимы. Разница заключается в намерениях и согласованности действий.
По результатам наших оценок, Atlantic.NetУпаковка из чистого металла снижает неопределенность для команд, ориентированных на соблюдение нормативных требований, а InMotion HostingПодход, предложенный в данной работе, отдает предпочтение гибкости для команд с практическим опытом работы. Ни одна из моделей не гарантирует соответствие стандарту PCI, но каждая поддерживает его по-своему.
Для платежных систем, соответствующих стандарту PCI, понимание того, как поставщик организует работу с аппаратным обеспечением (инфраструктура, соответствующая требованиям, или гибкое выделенное оборудование), помогает командам выбрать среду, которая соответствует их готовности к аудиту, процессам управления и долгосрочному стилю работы.
Решение о том, подходит ли технология Bare Metal для вашей платежной системы PCI.
Использование аппаратного обеспечения без операционной системы (bare metal) идеально подходит для платежных систем, соответствующих стандарту PCI, где пути транзакций четко определены, границы инфраструктуры остаются стабильными, а процессы PCI уже отлажены. Инфраструктура с одним арендатором помогает изолировать среду данных держателя карты, что снижает вероятность расширения области действия и ограничивает сложности, возникающие при аудите с течением времени.
Подходит ли технология Bare Metal для вашей платежной системы, соответствующей стандарту PCI?
| Рассмотрение | Использование чистого металла — хороший вариант, когда… | Использование "голого металла" может быть нецелесообразным, когда… |
|---|---|---|
| зрелость платежной системы | Платежная платформа стабильна и хорошо отлажена. | Продукт находится на ранней стадии разработки или все еще часто меняется. |
| зрелость процесса PCI | Процессы управления, аудита и сбора доказательств в соответствии со стандартами PCI уже налажены. | Процессы PCI носят неформальный характер или находятся в стадии разработки. |
| Стабильность инфраструктуры | Границы системы и потоки транзакций остаются неизменными с течением времени. | Архитектура часто меняется или масштабируется непредсказуемо. |
| Приоритет управления областью действия | Крайне важно обеспечить строгую изоляцию среды данных держателей карт. | Расширение масштабов деятельности допустимо в обмен на гибкость. |
| Оперативное владение | Команда готова взять на себя управление доступом, ведение журналов и управление изменениями. | Команда предпочитает, чтобы уровни соответствия требованиям контролировались поставщиком услуг. |
| Частота аудита | Окружающая среда регулярно или периодически подвергается оценкам PCI. | Проверки на соответствие стандартам PCI проводятся нечасто или носят поверхностный характер. |
| Изменение допуска | Запланированные и утвержденные изменения предпочтительнее быстрой итерации. | Необходимы быстрая итерация и экспериментирование. |
Из нашего опыта в HostScoreИспользование выделенных серверов хорошо сочетается с выделенными платежными платформами, шлюзами и процессорами, которые работают непрерывно и проходят регулярную проверку. Команды с четко определенными процессами управления, контроля изменений и обработки доказательств получают наибольшую выгоду от инфраструктуры, которая ведет себя предсказуемо и изменяется только в соответствии с утвержденными процессами.
Использование аппаратных средств менее подходит для платежных продуктов на ранних стадиях разработки, быстро меняющихся архитектур или команд, не имеющих отлаженных механизмов обеспечения соответствия требованиям. В таких случаях операционная дисциплина, необходимая для поддержания контроля в соответствии со стандартами PCI, может перевесить преимущества более жесткого контроля.
Решающим фактором является не то, обеспечивает ли использование аппаратного обеспечения большую безопасность, а готовность организации к полному контролю за выполнением требований PCI. При наличии такого соответствия использование аппаратного обеспечения упрощает соблюдение нормативных требований. При его отсутствии это создает операционные риски, а не снижает их.
Итоговый вывод: Хостинг на физических серверах для платежных систем, соответствующих стандарту PCI.
Хостинг без операционной системы Это помогает платежным системам, соответствующим требованиям PCI, упрощая изоляцию инфраструктуры, ужесточая границы области действия и уточняя операционную ответственность. Это не заменяет дисциплину PCI, но уменьшает неопределенность в отношении того, что входит в область действия, кто контролирует среду и как собираются доказательства в ходе аудитов. Для платежных систем со стабильной архитектурой и отлаженными процессами соответствия эта ясность часто оказывает большее влияние на результаты PCI, чем дополнительные инструменты или абстракция.
