انتقل إلى المحتوى الرئيسي انتقل إلى الملاحة انتقل إلى التذييل
لفترة محدودة: برنامج Design Partner — خطة BUSINESS مجانية مدى الحياة

الامتثال لـ PCI DSS

كيف يتوافق Rediacc مع متطلبات PCI DSS: النسخ الاحتياطية غير القابلة للتغيير، وعزل الشبكة التلقائي، والتحكم في الوصول على مستوى البنية الأساسية.

عندما تتعامل مع بيانات حامل البطاقة، معيار PCI DSS v4.0.1 ليس اختيارياً. ويختزل كل شيء إلى متطلب واحد: عزل على مستوى البنية الأساسية عن كل شيء آخر.

المرجع: مجلس معايير أمن PCI

تعيين المتطلبات

متطلب PCI DSSالوصفقدرة Rediacc
المتطلب 1، ضوابط أمن الشبكةتثبيت وصيانة ضوابط أمن الشبكةقواعد iptables لكل مستودع تمنع جميع حركة المرور بين المستودعات. كل مستودع يحصل على شبكة فرعية loopback IP خاصة (/26).
المتطلب 2، التكوينات الآمنةتطبيق تكوينات آمنة على جميع مكونات النظامتفرض خطافات دورة حياة Rediaccfile تكوينات حتمية وقابلة للتكرار. لا بيانات اعتماد افتراضية. مفاتيح LUKS يولدها المشغل.
المتطلب 3، حماية بيانات الحساب المخزنةحماية بيانات الحساب المخزنة بالتشفيرتشفير LUKS2 AES-256 على جميع وحدات تخزين المستودعات. التشفير إلزامي وليس اختيارياً. المحو التشفيري عبر تدمير مفتاح LUKS.
المتطلب 4، حماية البيانات أثناء النقلحماية بيانات حامل البطاقة بتشفير قوي أثناء النقلجميع العمليات عن بُعد عبر SSH. نقل النسخ الاحتياطية مشفر من طرف إلى طرف. لا مسارات بيانات غير مشفرة.
المتطلب 6، التطوير الآمنتطوير وصيانة أنظمة وبرامج آمنةاستنساخ CoW ينشئ بيئات اختبار معزولة دون كشف بيانات بطاقات الإنتاج لشبكات التطوير. سير عمل fork-test-promote.
المتطلب 7، تقييد الوصولتقييد الوصول إلى مكونات النظام وبيانات حامل البطاقة حسب الحاجةمقابس Docker daemon لكل مستودع. الوصول إلى مستودع لا يمنح الوصول إلى آخر. مصادقة بمفتاح SSH.
المتطلب 8، تحديد المستخدمين والمصادقةتحديد هوية المستخدمين والمصادقة على الوصولمصادقة بمفتاح SSH. رموز API مع ربط IP وصلاحيات محددة النطاق. المصادقة الثنائية (TOTP).
المتطلب 9، تقييد الوصول الماديتقييد الوصول المادي لبيانات حامل البطاقةالاستضافة الذاتية: الأمن المادي تحت سيطرتك المباشرة. تشفير LUKS يجعل الأقراص المسروقة غير قابلة للقراءة.
المتطلب 10، التسجيل والمراقبةتسجيل ومراقبة جميع عمليات الوصول إلى مكونات النظام وبيانات حامل البطاقةأكثر من 70 نوع حدث (المصادقة، رموز API، التكوين، الترخيص، عمليات الجهاز). لوحة تحكم المسؤول والبوابة مع تصفية حسب المستخدم والفريق والنوع والتاريخ. rdc audit CLI للتصدير البرمجي. عمليات الجهاز أيضاً في سجلات النظام للحماية المتعددة الطبقات.
المتطلب 12، السياسات التنظيميةدعم أمن المعلومات بسياسات وبرامج تنظيميةالاستضافة الذاتية تلغي نطاق معالج الطرف الثالث (المتطلب 12.8). تقلل حدود الامتثال لـ PCI DSS.

تجزئة الشبكة

معيار PCI DSS يركز بشدة على التجزئة. أرى بشكل متكرر فرقاً تطبق قواعد iptables فوق عزل ناقص. لا يعمل هذا. الفرق التي تنجح لديها التجزئة مدمجة في البنية الأساسية. Rediacc يوفر هذا لك بشكل افتراضي:

  • كل مستودع يعمل في Docker daemon خاص به في /var/run/rediacc/docker-<networkId>.sock
  • المستودعات لها شبكات فرعية loopback IP معزولة (127.0.x.x/26، 61 عنوان IP قابل للاستخدام لكل شبكة)
  • قواعد iptables المفروضة من renet تمنع جميع حركة المرور بين الشياطين
  • لا يمكن للحاويات من مستودعات مختلفة التواصل على مستوى الشبكة

مستودع معالجة المدفوعات يعمل على Docker daemon خاص به وشبكة فرعية loopback خاصة به، معزولاً شبكياً عن كل تطبيق آخر على نفس الجهاز. لا قواعد جدار حماية إضافية للكتابة.

تقليل النطاق

الاستضافة الذاتية Rediacc تقلل نطاق الامتثال. لا تحتاج إلى تكوين التجزئة يدوياً، إنها تلقائية بحكم التصميم. توثيقنا لهذا الجزء لا يزال يحتاج إلى عمل، لكن العزل سليم:

  • لا مزود سحابة طرف ثالث في تدفق بيانات حامل البطاقة
  • لا مورد SaaS للتقييم بموجب المتطلب 12.8 (مزودو خدمة طرف ثالث)
  • ضوابط الأمن المادي تحت إدارتك المباشرة
  • مفاتيح التشفير مخزنة فقط في التكوين المحلي للمشغل

حالات التنفيذ

معظم إجراءات تنفيذ PCI DSS الفاشلة تختزل إلى واحدة من أمرين: تجزئة لم تكن معزولة بشكل صحيح أبداً، أو تشفير لم يتم اختباره أبداً ضد الهجمات الحقيقية.