メインコンテンツにスキップ ナビゲーションにスキップ フッターにスキップ
期間限定:デザインパートナープログラム。BUSINESSプランはずっと無料

PCI DSSコンプライアンス

Rediaccが不変バックアップ、自動ネットワーク隔離、インフラストラクチャレベルのアクセス制御によってPCI DSS要件を満たす方法。

PCI DSS v4.0.1は、カード会員データを扱う場合、オプションではありません。v4.0.1の本質は1つの要件に集約されます:インフラストラクチャレベルで他のすべてから隔離すること。

参照: PCI Security Standards Council

要件マッピング

PCI DSS要件説明Rediaccの機能
要件1、ネットワークセキュリティ制御ネットワークセキュリティ制御の導入と維持リポジトリごとのiptablesルールがクロスリポジトリトラフィックをすべてブロック。各リポジトリは独自のループバックIPサブネット(/26)を取得。
要件2、セキュアな設定すべてのシステムコンポーネントにセキュアな設定を適用Rediaccfileライフサイクルフックが決定論的で再現可能な設定を強制。デフォルト認証情報なし。LUKS鍵はオペレーターが生成。
要件3、保存データの保護保存されたアカウントデータを暗号化で保護すべてのリポジトリボリュームでLUKS2 AES-256暗号化。暗号化は必須であり、オプションではありません。LUKS鍵破壊による暗号消去。
要件4、転送中データの保護強力な暗号でカード会員データの転送を保護すべてのリモート操作はSSH経由。バックアップ転送はエンドツーエンド暗号化。暗号化されていないデータパスなし。
要件6、セキュアな開発セキュアなシステムとソフトウェアの開発と維持CoWクローンが本番のカード会員データを開発ネットワークに公開せず分離テスト環境を作成。fork-test-promoteワークフロー。
要件7、アクセス制限業務上の必要性に基づくシステムコンポーネントとカード会員データへのアクセス制限リポジトリごとのDocker daemonソケット。あるリポジトリへのアクセスは別のリポジトリへのアクセスを許可しません。SSH鍵認証。
要件8、ユーザー識別と認証ユーザーを識別しシステムコンポーネントへのアクセスを認証SSH鍵認証。IPバインドとスコープ付き権限のAPIトークン。二要素認証(TOTP)。
要件9、物理アクセスの制限カード会員データへの物理アクセスを制限セルフホスト型:物理セキュリティはお客様の直接管理下。LUKS暗号化により盗まれたドライブは読み取り不能。
要件10、ログと監視すべてのアクセスをログし監視70以上のイベントタイプ(認証、APIトークン、設定、ライセンス、マシン操作)。ユーザー、チーム、タイプ、日付によるフィルタリング付き管理ダッシュボードとポータル。プログラム的なエクスポート用のrdc audit CLI。多層防御のためマシン操作はシステムログにも記録。
要件12、組織ポリシー組織ポリシーとプログラムで情報セキュリティを支援セルフホストがサードパーティプロセッサスコープ(要件12.8)を排除。PCI DSSコンプライアンス境界を縮小。

ネットワークセグメンテーション

PCI DSSはセグメンテーションに強く依存しています。不十分な隔離の上にiptablesルールを積み重ねるチームをよく見かけます。そうしたアプローチはうまくいきません。合格するチームはセグメンテーションをアーキテクチャに組み込んでいます。Rediaccはデフォルトでそれを提供します:

  • 各リポジトリは/var/run/rediacc/docker-<networkId>.sockで独自のDocker daemonとして実行
  • リポジトリは分離されたループバックIPサブネット(127.0.x.x/26、ネットワークあたり61の使用可能IP)を持つ
  • renetが強制するiptablesルールがdaemon間のすべてのトラフィックをブロック
  • 異なるリポジトリのコンテナはネットワークレベルで通信不可

決済処理リポジトリは独自の Docker デーモンと独自のループバックサブネット上で動作し、同一マシン上の他のすべてのアプリケーションからネットワーク分離されています。追加のファイアウォールルールを記述する必要はありません。

スコープ削減

セルフホスト型Rediaccはコンプライアンススコープを縮小します。ネットワークセグメンテーションを手動で設定する必要はありません。デフォルトで自動化されています。このパートのドキュメンテーションはまだ改善の余地がありますが、隔離は確実です。

  • カード会員データフローにサードパーティクラウドプロバイダーなし
  • 要件12.8(サードパーティサービスプロバイダー)で評価すべきSaaSベンダーなし
  • 物理セキュリティ制御はお客様の直接管理下
  • 暗号化鍵はオペレーターのローカル設定にのみ保存

執行事例

ほとんどのPCI監査失敗は、適切に隔離されなかったセグメンテーション、または実際の攻撃に対してテストされなかった暗号化という2つのいずれかに帰着します。

  • Heartland Payment Systems(2008年):ネットワークセグメンテーションの不備により攻撃者が48のデータベースを横断的に移動し、1億3000万のカード番号を露出。総コストは2億ドルを超過。
  • Target(2013年):フラットなネットワークアーキテクチャにより攻撃者がHVACベンダーのネットワークアクセスからPOSシステムへ侵入し、4000万のペイメントカードを取得。47州の司法長官と1850万ドルで和解。