Навигация: Главная Обзоры Актуальные обзоры PCI DSS хостинг – что это такое


PCI DSS хостинг – что это такое

31.10.2019

PCI DSS хостинг – что это такое

 

Стандарт PCI-DSS включает в себя ряд параметров, которым должны соответствовать компании, работающие с держателями Visa и MasterCard.

Хостинг PCI DSS – это услуга, благодаря которой появилась возможность делегировать часть ответственности по соблюдению стандарта на поставщика. С помощью этой услуги отдельные участники рынка e-commerce систем могут облегчить процесс получения сертификации.

Хостинг-провайдер владеет набором методов для защиты информации владельца карты. Обязанность по соблюдению PCI DSS распределяют между заказчиком и поставщиком по предварительному согласованию. Зачастую оператор отвечает за сеть, данные и контролирует возможность физического доступа к серверам.

Для создания надежной сети поставщик использует перечень приложений, которые входят в стандарт PCI DSS. Он включает в себя программы для отслеживания сети и firewall. К тому же, хостер ограничивает соединения по FTP/SSH для каждого пользователя всеми компьютерами и использует сценарии для блокировки IP-адресов в случае множественных неудачных попыток авторизации.

Провайдер должен защищать данные пользователей с помощью программного обеспечения (антивирусов), двухфакторной аутентификации, шифрования, а также делать резервные копии всех данных. Поставщик также несет ответственность за «реальную защиту» устройств (в случае наличия собственного дата-центра). Однако эта ответственность зачастую делегируется на персонал дата-центра, где поставщик размещает стойки.

Варианты размещения

Согласно последним данным на сегодняшний день популярностью пользуются такие варианты хостингов:

  • совместное размещение;

  • стандартный IaaS;

  • расширенный IaaS.

Совместное размещение

В первом случае бизнес размещает свое оборудование в дата-центре хостера. Поставщик услуг гарантирует безопасность оборудования, круглосуточное видеонаблюдение, проверку идентификации сотрудников, а сервера хранятся в специальных стойках. К тому же, хостинг часто проверяет устройства на предмет неполадок и уязвимостей.

Стандартный IaaS

Клиент, заказывающий услугу хостинга, отвечает за хранение персональных и финансовых данных обладателя карты, гарантирует защиту от вредоносных ПО и безопасность программ. Хостинг несет ответственность, а также должен обеспечить ограниченный физический доступ к базе данных. Другие пункты PCI могут быть распределены, всё зависит от условий договора.

Расширенный IaaS

Благодаря расширенной услуге IaaS-провайдер возлагает на себя ответственность за соблюдение большинства требований, включая настройку компонентов и сетей. Клиенту остается лишь создавать надежные приложения.

Для предоставления расширенного сервиса IaaS поставщик должен соответствовать нескольким требованиям. Первым из них является наличие двухфакторной аутентификации. Для этого существует OTP-сервер, который генерирует уникальные токены.

Еще одно требование – наличие брандмауэра. Что касается сетей, хостинг должен следовать принципу «запретить все, что не разрешено».

Наконец, последнее – доступность протокола FIM, контролирующего целостность файлов в различных системах, таких как Windows или семейства *Nix. Кроме того, хорошей практикой считается создание резервных копий виртуальных машин для восстановления информации.

На чем остановиться

Опытные аналитики отмечают, что крупным компаниям (банкам, розничным сетям) сложно соответствовать требованиям PCI DSS. Таким образом они с большей вероятностью выбирают стандартный или расширенный IaaS. Все другие компании могут использовать услугу совместного размещения.

 
Баннер
Баннер