Passer au contenu principal Passer à la navigation Passer au pied de page
Offre limitée : Design Partner Program. Plan BUSINESS gratuit à vie.

Conformité PCI DSS

Comment Rediacc répond aux exigences PCI DSS : sauvegardes immuables, isolation automatique du réseau et contrôle d'accès au niveau de l'infrastructure.

PCI DSS v4.0.1. n’est pas optionnel si tu manipules des données de titulaires de cartes. La version 4.0.1. se résume à une exigence : l’isolement au niveau de l’infrastructure de tout le reste.

Référence : PCI Security Standards Council

Correspondance des exigences

Exigence PCI DSSDescriptionCapacité Rediacc
Exig. 1, Contrôles de sécurité réseauInstaller et maintenir des contrôles de sécurité réseauLes règles iptables par dépôt bloquent tout trafic inter-dépôts. Chaque dépôt obtient son propre sous-réseau IP loopback (/26).
Exig. 2, Configurations sécuriséesAppliquer des configurations sécurisées à tous les composants systèmeLes hooks de cycle de vie du Rediaccfile imposent des configurations déterministes et reproductibles. Pas d’identifiants par défaut. Les clés LUKS sont générées par l’opérateur.
Exig. 3, Protéger les données stockéesProtéger les données de compte stockées avec le chiffrementChiffrement LUKS2 AES-256 sur tous les volumes de dépôts. Le chiffrement est obligatoire, pas optionnel. Effacement cryptographique via destruction de la clé LUKS.
Exig. 4, Protéger les données en transitProtéger les données du titulaire avec une cryptographie forte pendant la transmissionToutes les opérations distantes via SSH. Transport de sauvegarde chiffré de bout en bout. Aucun chemin de données non chiffré.
Exig. 6, Développement sécuriséDévelopper et maintenir des systèmes et logiciels sécurisésLe clonage CoW crée des environnements de test isolés sans exposer les données de cartes de production aux réseaux de développement. Workflow fork-test-promote.
Exig. 7, Restreindre l’accèsRestreindre l’accès aux composants système et aux données du titulaire selon le besoin d’en connaîtreSockets Docker daemon par dépôt. L’accès à un dépôt ne donne pas accès à un autre. Authentification par clé SSH.
Exig. 8, Identifier et authentifierIdentifier les utilisateurs et authentifier l’accès aux composants systèmeAuthentification par clé SSH. Jetons API avec liaison IP et permissions à portée définie. Authentification à deux facteurs (TOTP).
Exig. 9, Restreindre l’accès physiqueRestreindre l’accès physique aux données du titulaireAuto-hébergé : la sécurité physique est sous votre contrôle direct. Le chiffrement LUKS rend les disques volés illisibles.
Exig. 10, Journaliser et surveillerJournaliser et surveiller tous les accès aux composants système et aux données du titulaire70+ types d’événements (auth, jetons API, config, licences, opérations machines). Tableau de bord d’administration et portail avec filtrage par utilisateur, équipe, type et date. rdc audit CLI pour l’export programmatique. Les opérations machines sont également dans les journaux système pour la défense en profondeur.
Exig. 12, Politiques organisationnellesSoutenir la sécurité de l’information avec des politiques et programmes organisationnelsL’auto-hébergement élimine le périmètre du sous-traitant tiers (Exig. 12.8). Réduit le périmètre de conformité PCI DSS.

Segmentation réseau

PCI DSS insiste fortement sur la segmentation. On voit constamment des équipes superposer des règles iptables sur une isolation insuffisante. Ça ne marche pas. Les équipes qui réussissent ont la segmentation construite dans l’architecture. Rediacc te l’offre par défaut :

  • Chaque dépôt s’exécute dans son propre Docker daemon à /var/run/rediacc/docker-<networkId>.sock
  • Les dépôts ont des sous-réseaux IP loopback isolés (127.0.x.x/26, 61 IPs utilisables par réseau)
  • Les règles iptables appliquées par renet bloquent tout trafic inter-daemons
  • Les conteneurs de différents dépôts ne peuvent pas communiquer au niveau réseau

Un dépôt de traitement des paiements s’exécute sur son propre daemon Docker et son propre sous-réseau loopback, isolé du réseau de toutes les autres applications sur la même machine. Aucune règle de pare-feu supplémentaire à rédiger.

Réduction du périmètre

Rediacc auto-hébergé réduit le périmètre de conformité PCI DSS. Tu n’as pas besoin de configurer manuellement la segmentation réseau ; c’est automatique par conception. Notre documentation sur cette partie a encore besoin de travail, mais l’isolation est solide.

  • Aucun fournisseur cloud tiers dans le flux de données du titulaire
  • Aucun fournisseur SaaS à évaluer sous l’Exig. 12.8 (prestataires de services tiers)
  • Contrôles de sécurité physique sous votre gestion directe
  • Clés de chiffrement stockées uniquement dans la configuration locale de l’opérateur

Cas d’application

La plupart des échecs d’audit PCI se résument à l’une de ces deux choses : une segmentation qui n’a jamais été correctement isolée, ou un chiffrement qui n’a jamais été testé contre des attaques réelles.