Контакты
Подписка
МЕНЮ
Контакты
Подписка

PCI DSS - соответствие в пространстве

PCI DSS - соответствие в пространстве

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

PCI DSS - соответствие в пространстве

Физическое размещение серверов, хостинг, организация серверных комнат - от этих аспектов зависят выбор способа обеспечения безопасности карточных данных и выполнение целого ряда требований стандарта PCI DSS. Из статьи читатель узнает, как сертифицируемым организациям выполнить эти требования, а также чем хостинг-провайдеры могут им в этом помочь.
Евгений Безгодов
ведущий аналитик
по информационной безопасности
компании Digital Security, PCI QSA

Стандарт PCI DSS содержит ряд требований, связанных с физическим размещением информационной инфраструктуры, то есть с тем, где и в каких условиях расположены ее компоненты. Основная часть этих требований представлена в девятом разделе стандарта, посвященном физической безопасности данных о держателях карт (ДДК). Кроме того, поскольку выбор варианта физического размещения влияет на организацию каналов связи, он также влияет на выполнение следующих требований: межсетевое экранирование (раздел 1), шифрование ДДК при их передаче через сети общего пользования (раздел 4) и применение двухфакторной аутентификации при удаленном доступе (требование 8.3). Еще четыре требования, связанные с привлечением сторонних поставщиков услуг, определенные в подразделе 12.8, должны быть исполнены в случае размещения на площадке хостинг-провайдера.


Исполнение этих требований обязательно для всех компаний, подлежащих сертификации по PCI DSS. В статье мы рассмотрим подходы к их исполнению с точки зрения различных вариантов физического размещения серверных компонентов среды ДДК.

Выполнение требований стандарта PCI DSS при размещении серверов на территории сертифицируемой организации

Поскольку выбор варианта физического размещения влияет на организацию каналов связи, он также влияет на выполнение следующих требований: межсетевое экранирование (раздел 1), шифрование ДДК при их передаче через сети общего пользования (раздел 4) и применение двухфактор-ной аутентификации при удаленном доступе (требование 8.3). Еще четыре требования, связанные с привлечением сторонних поставщиков услуг, определенные в подразделе 12.8, должны быть исполнены в случае размещения на площадке хостинг-провайдера.

Начнем с рассмотрения самого, пожалуй, привычного варианта – когда компоненты информационной инфраструктуры расположены в собственной серверной комнате на территории организации.

В части обеспечения физической безопасности информационной инфраструктуры, согласно девятому разделу стандарта PCI DSS, организация должна применять следующие меры:

  1. Ограничить и контролировать физический доступ во все помещения, в которых расположены компоненты среды ДДК, включая серверные комнаты.
  2. Ограничить и контролировать доступ посетителей.
  3. Ограничить доступ к сетевым разъемам, расположенным в общедоступных местах.
  4. Обеспечить учет, инвентаризацию и маркирование материальных носителей ДДК, а также контроль их передвижения. К таким носителям относятся и серверы.

Выполнение требований стандарта PCI DSS при размещении серверов на площадке хостинг-провайдера

Второй вариант, распространенный в основном среди небольших организаций индустрии платежных карт, – это размещение серверов на площадке хостинг-провайдера.

Предложения на рынке сертифицированного по PCI DSS хостинга в России на данный момент отсутствуют. Поэтому мы вынуждены обратиться к европейскому сегменту рынка, воспользовавшись перечнем поставщиков услуг, опубликованным международной платежной системой VISA. Таких документов два: "Глобальный перечень сертифицированных поставщиков услуг" (от 5 мая 2010 г.) и "Европейский перечень сертифицированных поставщиков услуг" (от 4 мая 2010 г.). Эти перечни содержат информацию о видах предоставляемых провайдерами услуг, а также отделяют европейский сегмент рынка от остального мира. Отсюда нами были выбраны те компании, которые заявили, что предоставляют хостинг в качестве основного вида сертифицируемых услуг. Затем был проведен анализ сайтов выбранных компаний и из них выделены только те, которые предлагают услуги по размещению физических или виртуальных серверов. В итоге был получен перечень из шести хостинг-провайдеров: Atos Origin, DATA-PIPE, DanDomain, Foreshore, Informations Technlogie Austria, TelecityGroup.

Стандарт PCI DSS гласит, что все поставщики услуг, имеющие доступ к ДДК либо способные повлиять на их безопасность, должны пройти сертификацию по PCI DSS. Хостинг-провайдеры относятся к числу таких поставщиков. При этом, согласно требованию 12.8, каждая организация, использующая услуги таких поставщиков, в рамках работ по достижению соответствия стандарту должна убедиться в том, что все эти поставщики соответствуют его требованиям.

Разместив свои серверы на площадке сертифицированного по PCI DSS хостинг-провайдера, организация может закрыть тем самым значительную часть требований стандарта, прежде всего в части физической безопасности. Однако на момент написания этой статьи на территории Российской Федерации нет ни одного хостинг-провайдера, обладающего статусом соответствия PCI DSS. По крайней мере заявившего о себе публично. По этой причине мы рассмотрим два варианта: размещение на площадке сертифицированного по PCI DSS хостинг-провайдера и размещение на площадке несертифицированного хостинг-провайдера с применением компенсирующих мер защиты.

Общими для этих вариантов являются следующие требования стандарта (описанные в подразделе 12.8):

  • необходимо поддерживать актуальный перечень поставщиков услуг, имеющих доступ к ДДК;
  • необходимо заключать письменное соглашение с каждым поставщиком услуг о том, что поставщик ответственен за безопасность переданных ему данных о держателях карт, включая данные, находящиеся на размещаемых серверах;
  • необходимо проводить тщательную проверку благонадежности каждого поставщика услуг перед началом взаимодействия с ним.

Размещение на площадке сертифицированного по PCI DSS хостинг-провайдера

Сертифицированный по PCI DSS хостинг-провайдер берет на себя выполнение большей части требований по физической защите размещаемых серверов. Таким образом, организации нет необходимости самой заботиться о таких вопросах, как ограничение и контроль физического доступа к серверам и видеонаблюдение. Кроме того, некоторые сертифицированные хостинг-провайдеры предлагают дополнительные услуги, такие как предоставление управляемых межсетевых экранов и систем обнаружения и предотвращения вторжений.

При этом в отношении требований, связанных с организацией каналов связи, необходимо учесть следующий момент. В отличие от случая с размещением серверов на территории организации связь с рабочими станциями и прочими компонентами среды ДДК, находящимися вне дата-центра хостинг-провайдера, будет организована посредством общедоступных каналов связи. Соответственно для этих каналов связи необходимо в полной мере выполнить требования стандарта в части:

  • межсетевого экранирования (раздел 1);
  • шифрования ДДК при их передаче (раздел 4);
  • применения двухфакторной аутентификации при удаленном доступе (требование 8.3). Внутренние каналы связи между расположенными на одной площадке серверами, предоставляемые сертифицированным по PCI DSS хостинг-провайдером и защищенные межсетевыми экранами, можно рассматривать как доверенные.
Стандарт PCI DSS гласит, что все поставщики услуг, имеющие доступ к ДДК либо способные повлиять на их безопасность, должны пройти сертификацию по PCI DSS. Хостинг-провайдеры относятся к числу таких поставщиков. При этом, согласно требованию 12.8, каждая организация, использующая услуги таких поставщиков, в рамках работ по достижению соответствия стандарту должна убедиться в том, что все эти поставщики соответствуют его требованиям.

Размещение на площадке несертифицированного хостинг-провайдера с применением компенсирующих мер защиты

Поскольку сертифицированные по PCI DSS хостинг-провайдеры на российском рынке пока отсутствуют, полезно будет разобраться, как же выполнить требования стандарта при размещении серверов на площадке  провайдера, не  обладающего статусом соответствия. Тем более что инфраструктура многих компаний уже размещена на таких площадках и перенести ее крайне затруднительно.

В случае такого размещения организации придется применить целый ряд компенсирующих мер. Стандартом определено, что компенсирующие меры могут использоваться для требований PCI DSS в том случае, если проверяемая организация не может выполнить требование по обоснованным техническим или бизнес-ограничениям, однако успешно снизила риск, связанный с требованием, путем реализации другой защитной меры. Компенсирующие меры должны удовлетворять следующим требованиям:

  1. преследовать ту же цель, что и прямое требование PCI DSS;
  2. обеспечивать ту же степень защищенности, что и прямое требование PCI DSS, чтобы снизить риск так же эффективно, как и прямое требование;
  3. не быть выполнением другого требования PCI DSS;
  4. быть соизмеримыми с дополнительным риском, вызванным невозможностью выполнить требование PCI DSS.

Какие меры необходимо принять в качестве компенсирующих

Начнем с физической безопасности, так как именно она претерпевает наибольшие потрясения в момент, когда мы размещаем серверное оборудование на "чужой" территории. Задачу компенсирующих мер, направленных на исполнение требований девятого раздела стандарта, можно рассматривать как задачу создания на территории хостинг-провайдера замкнутого пространства, контролируемого клиентом. Все меры должны обеспечиваться и контролироваться самим клиентом, а не хостинг-провайдером, которого при отсутствии у него сертификата соответствия PCI DSS следует рассматривать как недоверенную среду. В общем случае клиенту придется обеспечить для размещения своего оборудования закрытый со всех сторон серверный шкаф с видеонаблюдением, замками, системой контроля доступа и сигнализацией, и кроме того, выполнять множество регулярных процедур учета и контроля.

Сертифицированный по PCI DSS хостинг-провайдер берет на себя выполнение большей части требований по физической защите размещаемых серверов. Таким образом, организации нет необходимости самой заботиться о таких вопросах, как ограничение и контроль физического доступа к серверам и видеонаблюдение. Кроме того, некоторые сертифицированные хостинг-провайдеры предлагают дополнительные услуги, такие как предоставление управляемых межсетевых экранов и систем обнаружения и предотвращения вторжений.

Меры, направленные на исполнение требований межсетевого экранирования, шифрования ДДК при их передаче по общедоступным каналам связи и двухфакторной аутентификации при удаленном доступе, по сути своей, не являются компенсирующими в терминологии стандарта. Для их исполнения необходимо рассматривать любой канал связи, находящийся вне защищенного серверного шкафа, как относящийся к недоверенной сети. К числу таких каналов связи относится и внутренняя сеть хостинг-провайдера. Соответственно для каждого такого канала связи необходимо в полной мере выполнить требования стандарта в части защиты передаваемых данных и обеспечения безопасности удаленного доступа.

Требования стандарта PCI DSS для рабочих станций сотрудников

Требования к физической защите пользовательских рабочих станций, хранящих, обрабатывающих и передающих ДДК, абсолютно идентичны требованиям физической защиты серверных компонентов. Эти требования мы уже описывали выше, когда говорили о варианте размещения в собственной серверной комнате.

Поэтому мы рекомендуем минимизировать количество таких рабочих станций или по возможности отказаться от них полностью.

Заключение

Мы рассмотрели три варианта физического размещения информационной инфраструктуры с точки зрения выполнения требований стандарта PCI DSS. Каждый из этих вариантов обладает своими достоинствами и недостатками. Выбор того или иного варианта зависит не только от вопросов информационной безопасности и соответствия PCI DSS.

Наибольшую озабоченность у нас вызывает отсутствие на территории Российской Федерации хостинг-провайдеров, сертифицированных по стандарту PCI DSS. Именно это обстоятельство заставляет российские компании внедрять сложный комплекс компенсирующих мер, тогда как решение о размещении серверов у хостинг-провайдера принимается ими зачастую именно для избавления от подобных забот. Немало проблем это доставляет и самим хостинг-провайдерам, которым приходится размещать у себя нестандартное оборудование.

Сертификация по стандарту PCI DSS может быть совсем не обременительна для многих хостинг-провайдеров. Многие такие компании по факту соответствуют большинству его требований – обеспечивают ограничение и контроль физического доступа на свою территорию и к размещенному оборудованию, осуществляют видеонаблюдение, поддерживают собственные политики и процедуры информационной безопасности, обеспечивают разделение клиентских сред. Для получения сертификата соответствия PCI DSS необходимо выполнить все требования стандарта, применимые к хостинг-провайдеру, и успешно пройти сертификационный аудит с привлечением внешнего QSA-аудитора. Это позволит хостинг-провайдеру избавить себя и клиентов от забот, описанных выше, а также привлечь новых заказчиков в лице предприятий электронной коммерции и других участников индустрии платежных карт.

Кто будет первым?

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2011

Приобрести этот номер или подписаться

Статьи про теме