عندما تتعامل مع بيانات حامل البطاقة، معيار PCI DSS v4.0.1 ليس اختيارياً. ويختزل كل شيء إلى متطلب واحد: عزل على مستوى البنية الأساسية عن كل شيء آخر.
المرجع: مجلس معايير أمن PCI
تعيين المتطلبات
| متطلب PCI DSS | الوصف | قدرة Rediacc |
|---|---|---|
| المتطلب 1، ضوابط أمن الشبكة | تثبيت وصيانة ضوابط أمن الشبكة | قواعد iptables لكل مستودع تمنع جميع حركة المرور بين المستودعات. كل مستودع يحصل على شبكة فرعية loopback IP خاصة (/26). |
| المتطلب 2، التكوينات الآمنة | تطبيق تكوينات آمنة على جميع مكونات النظام | تفرض خطافات دورة حياة Rediaccfile تكوينات حتمية وقابلة للتكرار. لا بيانات اعتماد افتراضية. مفاتيح LUKS يولدها المشغل. |
| المتطلب 3، حماية بيانات الحساب المخزنة | حماية بيانات الحساب المخزنة بالتشفير | تشفير LUKS2 AES-256 على جميع وحدات تخزين المستودعات. التشفير إلزامي وليس اختيارياً. المحو التشفيري عبر تدمير مفتاح LUKS. |
| المتطلب 4، حماية البيانات أثناء النقل | حماية بيانات حامل البطاقة بتشفير قوي أثناء النقل | جميع العمليات عن بُعد عبر SSH. نقل النسخ الاحتياطية مشفر من طرف إلى طرف. لا مسارات بيانات غير مشفرة. |
| المتطلب 6، التطوير الآمن | تطوير وصيانة أنظمة وبرامج آمنة | استنساخ CoW ينشئ بيئات اختبار معزولة دون كشف بيانات بطاقات الإنتاج لشبكات التطوير. سير عمل fork-test-promote. |
| المتطلب 7، تقييد الوصول | تقييد الوصول إلى مكونات النظام وبيانات حامل البطاقة حسب الحاجة | مقابس Docker daemon لكل مستودع. الوصول إلى مستودع لا يمنح الوصول إلى آخر. مصادقة بمفتاح SSH. |
| المتطلب 8، تحديد المستخدمين والمصادقة | تحديد هوية المستخدمين والمصادقة على الوصول | مصادقة بمفتاح SSH. رموز API مع ربط IP وصلاحيات محددة النطاق. المصادقة الثنائية (TOTP). |
| المتطلب 9، تقييد الوصول المادي | تقييد الوصول المادي لبيانات حامل البطاقة | الاستضافة الذاتية: الأمن المادي تحت سيطرتك المباشرة. تشفير LUKS يجعل الأقراص المسروقة غير قابلة للقراءة. |
| المتطلب 10، التسجيل والمراقبة | تسجيل ومراقبة جميع عمليات الوصول إلى مكونات النظام وبيانات حامل البطاقة | أكثر من 70 نوع حدث (المصادقة، رموز API، التكوين، الترخيص، عمليات الجهاز). لوحة تحكم المسؤول والبوابة مع تصفية حسب المستخدم والفريق والنوع والتاريخ. rdc audit CLI للتصدير البرمجي. عمليات الجهاز أيضاً في سجلات النظام للحماية المتعددة الطبقات. |
| المتطلب 12، السياسات التنظيمية | دعم أمن المعلومات بسياسات وبرامج تنظيمية | الاستضافة الذاتية تلغي نطاق معالج الطرف الثالث (المتطلب 12.8). تقلل حدود الامتثال لـ PCI DSS. |
تجزئة الشبكة
معيار PCI DSS يركز بشدة على التجزئة. أرى بشكل متكرر فرقاً تطبق قواعد iptables فوق عزل ناقص. لا يعمل هذا. الفرق التي تنجح لديها التجزئة مدمجة في البنية الأساسية. Rediacc يوفر هذا لك بشكل افتراضي:
- كل مستودع يعمل في Docker daemon خاص به في
/var/run/rediacc/docker-<networkId>.sock - المستودعات لها شبكات فرعية loopback IP معزولة (127.0.x.x/26، 61 عنوان IP قابل للاستخدام لكل شبكة)
- قواعد iptables المفروضة من renet تمنع جميع حركة المرور بين الشياطين
- لا يمكن للحاويات من مستودعات مختلفة التواصل على مستوى الشبكة
مستودع معالجة المدفوعات يعمل على Docker daemon خاص به وشبكة فرعية loopback خاصة به، معزولاً شبكياً عن كل تطبيق آخر على نفس الجهاز. لا قواعد جدار حماية إضافية للكتابة.
تقليل النطاق
الاستضافة الذاتية Rediacc تقلل نطاق الامتثال. لا تحتاج إلى تكوين التجزئة يدوياً، إنها تلقائية بحكم التصميم. توثيقنا لهذا الجزء لا يزال يحتاج إلى عمل، لكن العزل سليم:
- لا مزود سحابة طرف ثالث في تدفق بيانات حامل البطاقة
- لا مورد SaaS للتقييم بموجب المتطلب 12.8 (مزودو خدمة طرف ثالث)
- ضوابط الأمن المادي تحت إدارتك المباشرة
- مفاتيح التشفير مخزنة فقط في التكوين المحلي للمشغل
حالات التنفيذ
معظم إجراءات تنفيذ PCI DSS الفاشلة تختزل إلى واحدة من أمرين: تجزئة لم تكن معزولة بشكل صحيح أبداً، أو تشفير لم يتم اختباره أبداً ضد الهجمات الحقيقية.
- Heartland Payment Systems (2008): تحرك المهاجمون جانبياً عبر 48 قاعدة بيانات بسبب ضعف تجزئة الشبكة، مما كشف 130 مليون رقم بطاقة. تجاوزت التكلفة الإجمالية 200 مليون دولار.
- Target (2013): تحول المهاجمون من وصول شبكة مورد HVAC إلى أنظمة نقاط البيع بسبب بنية الشبكة المسطحة، والتقطوا 40 مليون بطاقة دفع. تسوية بقيمة 18.5 مليون دولار مع 47 مدعي عام للولايات.