معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) مطلوب لأي منظمة تخزن أو تعالج أو تنقل بيانات حامل البطاقة. الإصدار الحالي هو PCI DSS v4.0.1.
المرجع: مجلس معايير أمن PCI
تعيين المتطلبات
| متطلب PCI DSS | الوصف | قدرة Rediacc |
|---|---|---|
| المتطلب 1، ضوابط أمن الشبكة | تثبيت وصيانة ضوابط أمن الشبكة | قواعد iptables لكل مستودع تمنع جميع حركة المرور بين المستودعات. كل مستودع يحصل على شبكة فرعية loopback IP خاصة (/26). |
| المتطلب 2، التكوينات الآمنة | تطبيق تكوينات آمنة على جميع مكونات النظام | تفرض خطافات دورة حياة Rediaccfile تكوينات حتمية وقابلة للتكرار. لا بيانات اعتماد افتراضية. مفاتيح LUKS يولدها المشغل. |
| المتطلب 3، حماية بيانات الحساب المخزنة | حماية بيانات الحساب المخزنة بالتشفير | تشفير LUKS2 AES-256 على جميع وحدات تخزين المستودعات. التشفير إلزامي وليس اختيارياً. المحو التشفيري عبر تدمير مفتاح LUKS. |
| المتطلب 4، حماية البيانات أثناء النقل | حماية بيانات حامل البطاقة بتشفير قوي أثناء النقل | جميع العمليات عن بُعد عبر SSH. نقل النسخ الاحتياطي مشفر من طرف إلى طرف. لا مسارات بيانات غير مشفرة. |
| المتطلب 6، التطوير الآمن | تطوير وصيانة أنظمة وبرامج آمنة | استنساخ CoW ينشئ بيئات اختبار معزولة دون كشف بيانات بطاقات الإنتاج لشبكات التطوير. سير عمل fork-test-promote. |
| المتطلب 7، تقييد الوصول | تقييد الوصول إلى مكونات النظام وبيانات حامل البطاقة حسب الحاجة | مقابس Docker daemon لكل مستودع. الوصول إلى مستودع لا يمنح الوصول إلى آخر. مصادقة بمفتاح SSH. |
| المتطلب 8، تحديد المستخدمين والمصادقة | تحديد هوية المستخدمين والمصادقة على الوصول | مصادقة بمفتاح SSH. رموز API مع ربط IP وصلاحيات محددة النطاق. المصادقة الثنائية (TOTP). |
| المتطلب 9، تقييد الوصول المادي | تقييد الوصول المادي لبيانات حامل البطاقة | الاستضافة الذاتية: الأمن المادي تحت سيطرتك المباشرة. تشفير LUKS يجعل الأقراص المسروقة غير قابلة للقراءة. |
| المتطلب 10، التسجيل والمراقبة | تسجيل ومراقبة جميع عمليات الوصول | أكثر من 40 نوع حدث على مستوى الحساب (المصادقة، رموز API، التكوين، الترخيص). لوحة تحكم المسؤول مع تصفية حسب المستخدم والفريق والتاريخ. rdc audit CLI للتصدير البرمجي. عمليات مستوى الجهاز قابلة للتدقيق عبر SSH وسجلات النظام. |
| المتطلب 12، السياسات التنظيمية | دعم أمن المعلومات بسياسات وبرامج تنظيمية | الاستضافة الذاتية تلغي نطاق معالج الطرف الثالث (المتطلب 12.8). تقلل حدود الامتثال لـ PCI DSS. |
تجزئة الشبكة
يركز PCI DSS بشدة على تجزئة الشبكة لعزل بيئة بيانات حامل البطاقة (CDE). يوفر Rediacc ذلك من خلال التصميم:
- كل مستودع يعمل في Docker daemon خاص به في
/var/run/rediacc/docker-<networkId>.sock - المستودعات لها شبكات فرعية loopback IP معزولة (127.0.x.x/26، 61 عنوان IP قابل للاستخدام لكل شبكة)
- قواعد iptables المفروضة من renet تمنع جميع حركة المرور بين الشياطين
- لا يمكن للحاويات من مستودعات مختلفة التواصل على مستوى الشبكة
مستودع معالجة المدفوعات معزول شبكياً عن جميع التطبيقات الأخرى على نفس الجهاز. لا حاجة لتكوين جدار حماية إضافي.
تقليل النطاق
الاستضافة الذاتية في Rediacc تقلل نطاق الامتثال لـ PCI DSS:
- لا مزود سحابة طرف ثالث في تدفق بيانات حامل البطاقة
- لا مورد SaaS للتقييم بموجب المتطلب 12.8 (مزودو خدمة طرف ثالث)
- ضوابط الأمن المادي تحت إدارتك المباشرة
- مفاتيح التشفير مخزنة فقط في التكوين المحلي للمشغل
حالات التنفيذ
أدت تجزئة الشبكة الضعيفة والتشفير المفقود إلى إجراءات تنفيذ مكلفة لـ PCI DSS:
- Heartland Payment Systems (2008): تحرك المهاجمون أفقياً عبر 48 قاعدة بيانات بسبب ضعف تجزئة الشبكة، مما كشف 130 مليون رقم بطاقة. تجاوزت التكلفة الإجمالية 200 مليون دولار.
- Target (2013): تحول المهاجمون من وصول شبكة مورد HVAC إلى أنظمة نقاط البيع بسبب بنية الشبكة المسطحة، والتقطوا 40 مليون بطاقة دفع. تسوية بقيمة 18.5 مليون دولار مع 47 مدعي عام للولايات.