メインコンテンツにスキップ ナビゲーションにスキップ フッターにスキップ

PCI DSS コンプライアンス

Rediaccが暗号化、ネットワークセグメンテーション、アクセス制御によるペイメントカードデータ保護のPCI DSS要件にどのように対応するか。

Payment Card Industry Data Security Standard (PCI DSS) は、カード会員データを保存、処理、または送信するすべての組織に必要です。現行バージョンはPCI DSS v4.0.1です。

参照: PCI Security Standards Council

要件マッピング

PCI DSS要件説明Rediaccの機能
要件1、ネットワークセキュリティ制御ネットワークセキュリティ制御の導入と維持リポジトリごとのiptablesルールがクロスリポジトリトラフィックをすべてブロック。各リポジトリは独自のループバックIPサブネット(/26)を取得。
要件2、セキュアな設定すべてのシステムコンポーネントにセキュアな設定を適用Rediaccfileライフサイクルフックが決定論的で再現可能な設定を強制。デフォルト認証情報なし。LUKS鍵はオペレーターが生成。
要件3、保存データの保護保存されたアカウントデータを暗号化で保護すべてのリポジトリボリュームでLUKS2 AES-256暗号化。暗号化は必須であり、オプションではありません。LUKS鍵破壊による暗号消去。
要件4、転送中データの保護強力な暗号でカード会員データの転送を保護すべてのリモート操作はSSH経由。バックアップ転送はエンドツーエンド暗号化。暗号化されていないデータパスなし。
要件6、セキュアな開発セキュアなシステムとソフトウェアの開発と維持CoWクローンが本番のカード会員データを開発ネットワークに公開せず分離テスト環境を作成。fork-test-promoteワークフロー。
要件7、アクセス制限業務上の必要性に基づくシステムコンポーネントとカード会員データへのアクセス制限リポジトリごとのDocker daemonソケット。あるリポジトリへのアクセスは別のリポジトリへのアクセスを許可しません。SSH鍵認証。
要件8、ユーザー識別と認証ユーザーを識別しシステムコンポーネントへのアクセスを認証SSH鍵認証。IPバインドとスコープ付き権限のAPIトークン。二要素認証(TOTP)。
要件9、物理アクセスの制限カード会員データへの物理アクセスを制限セルフホスト型:物理セキュリティはお客様の直接管理下。LUKS暗号化により盗まれたドライブは読み取り不能。
要件10、ログと監視すべてのアクセスをログし監視40以上のアカウントレベルイベントタイプ(認証、APIトークン、設定、ライセンス)。ユーザー、チーム、日付によるフィルタリング付き管理ダッシュボード。rdc audit CLIによるプログラム的エクスポート。マシンレベル操作はSSHとシステムログで監査可能。
要件12、組織ポリシー組織ポリシーとプログラムで情報セキュリティを支援セルフホストがサードパーティプロセッサスコープ(要件12.8)を排除。PCI DSSコンプライアンス境界を縮小。

ネットワークセグメンテーション

PCI DSSはカード会員データ環境(CDE)を隔離するためのネットワークセグメンテーションを重視しています。Rediaccはアーキテクチャでこれを提供します:

  • 各リポジトリは/var/run/rediacc/docker-<networkId>.sockで独自のDocker daemonとして実行
  • リポジトリは分離されたループバックIPサブネット(127.0.x.x/26、ネットワークあたり61の使用可能IP)を持つ
  • renetが強制するiptablesルールがdaemon間のすべてのトラフィックをブロック
  • 異なるリポジトリのコンテナはネットワークレベルで通信不可

決済処理リポジトリは同一マシン上の他のすべてのアプリケーションからネットワーク分離されています。追加のファイアウォール設定は不要です。

スコープ削減

セルフホスト型RediaccはPCI DSSコンプライアンススコープを縮小します:

  • カード会員データフローにサードパーティクラウドプロバイダーなし
  • 要件12.8(サードパーティサービスプロバイダー)で評価すべきSaaSベンダーなし
  • 物理セキュリティ制御はお客様の直接管理下
  • 暗号化鍵はオペレーターのローカル設定にのみ保存

執行事例

不十分なネットワークセグメンテーションと暗号化の欠如は、コストのかかるPCI DSS執行措置につながりました:

  • Heartland Payment Systems(2008年):ネットワークセグメンテーションの不備により攻撃者が48のデータベースを横断的に移動し、1億3000万のカード番号を露出。総コストは2億ドルを超過。
  • Target(2013年):フラットなネットワークアーキテクチャにより攻撃者がHVACベンダーのネットワークアクセスからPOSシステムへ侵入し、4000万のペイメントカードを取得。47州の司法長官と1850万ドルで和解。