Zum Hauptinhalt springen Zur Navigation springen Zur Fußzeile springen
Begrenzte Zeit: Design Partner Programm. BUSINESS Plan kostenlos für immer.

PCI DSS-Konformität

So erfüllt Rediacc die PCI DSS-Anforderungen: unveränderbare Sicherungen, automatische Netzwerksegmentierung und Zugriffskontrolle auf Infrastruktur-Ebene.

Mal ehrlich: PCI DSS v4.0.1. ist nicht optional, wenn Sie Karteninhaberdaten verarbeiten. Version 4.0.1. läuft auf eine Anforderung hinaus: infrastrukturelle Isolierung von allem anderen.

Referenz: PCI Security Standards Council

Anforderungszuordnung

PCI DSS AnforderungBeschreibungRediacc-Fähigkeit
Anf. 1, NetzwerksicherheitskontrollenNetzwerksicherheitskontrollen installieren und pflegenPro-Repository-iptables-Regeln blockieren jeglichen repositoryübergreifenden Verkehr. Jedes Repository erhält sein eigenes Loopback-IP-Subnetz (/26).
Anf. 2, Sichere KonfigurationenSichere Konfigurationen auf alle Systemkomponenten anwendenRediaccfile-Lebenszyklus-Hooks erzwingen deterministische, reproduzierbare Konfigurationen. Keine Standard-Anmeldedaten. LUKS-Schlüssel werden vom Operator generiert.
Anf. 3, Gespeicherte Kontodaten schützenGespeicherte Kontodaten mit Verschlüsselung schützenLUKS2 AES-256-Verschlüsselung auf allen Repository-Volumes. Verschlüsselung ist obligatorisch, nicht optional. Kryptographische Löschung via LUKS-Schlüsselzerstörung.
Anf. 4, Daten bei Übertragung schützenKarteninhaberdaten mit starker Kryptographie bei der Übertragung schützenAlle Remote-Operationen über SSH. Backup-Transport Ende-zu-Ende verschlüsselt. Keine unverschlüsselten Datenpfade.
Anf. 6, Sichere EntwicklungSichere Systeme und Software entwickeln und pflegenCoW-Kloning erstellt isolierte Testumgebungen, ohne Produktions-Karteninhaberdaten Entwicklungsnetzwerken auszusetzen. Fork-Test-Promote-Workflow.
Anf. 7, Zugriff einschränkenZugriff auf Systemkomponenten und Karteninhaberdaten nach Geschäftsbedarf einschränkenPro-Repository-Docker-Daemon-Sockets. Zugang zu einem Repository gewährt keinen Zugang zu einem anderen. SSH-Schlüssel-basierte Authentifizierung.
Anf. 8, Benutzer identifizieren und authentifizierenBenutzer identifizieren und Zugang zu Systemkomponenten authentifizierenSSH-Schlüssel-Authentifizierung. API-Tokens mit IP-Bindung und bereichsbezogenen Berechtigungen. Zwei-Faktor-Authentifizierung (TOTP).
Anf. 9, Physischen Zugang einschränkenPhysischen Zugang zu Karteninhaberdaten einschränkenSelf-Hosted: physische Sicherheit unter Ihrer direkten Kontrolle. LUKS-Verschlüsselung macht gestohlene Laufwerke unlesbar.
Anf. 10, Protokollieren und überwachenAlle Zugriffe auf Systemkomponenten und Karteninhaberdaten protokollieren und überwachen70+ Ereignistypen (Auth, API-Tokens, Config, Lizenzierung, Maschinenoperationen). Admin-Dashboard und Portal mit Filterung nach Benutzer, Team, Typ und Datum. rdc audit CLI für programmatischen Export. Maschinenoperationen auch in Systemlogs für Defense in Depth.
Anf. 12, Organisatorische RichtlinienInformationssicherheit mit organisatorischen Richtlinien und Programmen unterstützenSelf-Hosted eliminiert den Drittanbieter-Verarbeiter-Scope (Anf. 12.8). Reduziert die PCI DSS-Konformitätsgrenze.

Netzwerksegmentierung

PCI DSS setzt hart auf Segmentierung. Ich sehe immer wieder Teams, die iptables-Regeln auf unzureichende Isolierung aufsetzen. Das funktioniert nicht. Die Teams, die bestehen, haben Segmentierung in die Architektur eingebaut. Rediacc liefert Ihnen das standardmäßig:

  • Jedes Repository läuft in seinem eigenen Docker Daemon unter /var/run/rediacc/docker-<networkId>.sock
  • Repositories haben isolierte Loopback-IP-Subnetze (127.0.x.x/26, 61 nutzbare IPs pro Netzwerk)
  • Von renet erzwungene iptables-Regeln blockieren jeglichen Daemon-übergreifenden Verkehr
  • Container verschiedener Repositories können auf Netzwerkebene nicht kommunizieren

Ein Zahlungsverarbeitungs-Repository läuft auf seinem eigenen Docker Daemon und seinem eigenen Loopback-Subnetz, netzwerkisoliert von jeder anderen Anwendung auf derselben Maschine. Keine zusätzlichen Firewall-Regeln zu schreiben.

Scope-Reduktion

Self-Hosted Rediacc reduziert den PCI DSS-Konformitätsumfang. Sie müssen die Netzwerksegmentierung nicht manuell konfigurieren; sie ist automatisch nach Design. Unsere Dokumentation für diesen Teil muss noch verbessert werden, aber die Isolierung ist solide.

  • Kein Drittanbieter-Cloud-Provider im Karteninhaberdatenfluss
  • Kein SaaS-Anbieter zur Bewertung unter Anf. 12.8 (Drittanbieter-Dienstleister)
  • Physische Sicherheitskontrollen unter Ihrer direkten Verwaltung
  • Verschlüsselungsschlüssel nur in der lokalen Konfiguration des Operators gespeichert

Durchsetzungsfälle

Die meisten PCI-Audit-Ausfälle sind auf eines von zwei Dingen zurückzuführen: Segmentierung, die niemals ordnungsgemäß isoliert war, oder Verschlüsselung, die niemals gegen echte Angriffe getestet wurde.