PCI DSS v4.0.1. обязательна для каждого, кто работает с данными платёжных карт. По сути, требования сводятся к одному: полная изоляция на уровне инфраструктуры от всего остального.
Ссылка: PCI Security Standards Council
Сопоставление требований
| Требование PCI DSS | Описание | Возможность Rediacc |
|---|---|---|
| Треб. 1, Средства сетевой безопасности | Установка и поддержка средств сетевой безопасности | Правила iptables для каждого репозитория блокируют весь межрепозиторный трафик. Каждый репозиторий получает собственную подсеть loopback IP (/26). |
| Треб. 2, Безопасные конфигурации | Применение безопасных конфигураций ко всем компонентам системы | Хуки жизненного цикла Rediaccfile обеспечивают детерминированные воспроизводимые конфигурации. Без учётных данных по умолчанию. Ключи LUKS генерируются оператором. |
| Треб. 3, Защита хранимых данных | Защита хранимых данных аккаунта шифрованием | Шифрование LUKS2 AES-256 на всех томах репозиториев. Шифрование обязательно, не опционально. Криптографическое удаление через уничтожение ключа LUKS. |
| Треб. 4, Защита данных при передаче | Защита данных держателя карты сильной криптографией при передаче | Все удалённые операции по SSH. Транспорт резервных копий зашифрован сквозным образом. Без незашифрованных путей данных. |
| Треб. 6, Безопасная разработка | Разработка и поддержка безопасных систем и ПО | CoW-клонирование создаёт изолированные тестовые среды без раскрытия данных карт продакшена сетям разработки. Рабочий процесс fork-test-promote. |
| Треб. 7, Ограничение доступа | Ограничение доступа к компонентам системы и данным держателя по деловой необходимости | Сокеты Docker daemon для каждого репозитория. Доступ к одному репозиторию не даёт доступа к другому. Аутентификация по SSH-ключу. |
| Треб. 8, Идентификация и аутентификация | Идентификация пользователей и аутентификация доступа | Аутентификация по SSH-ключу. API-токены с привязкой к IP и ограниченными разрешениями. Двухфакторная аутентификация (TOTP). |
| Треб. 9, Ограничение физического доступа | Ограничение физического доступа к данным держателя | Самостоятельное размещение: физическая безопасность под вашим прямым контролем. Шифрование LUKS делает украденные диски нечитаемыми. |
| Треб. 10, Журналирование и мониторинг | Журналирование и мониторинг всех обращений к компонентам системы и данным | 70+ типов событий (аутентификация, API-токены, конфигурация, лицензирование, операции машин). Панель администратора и портал с фильтрацией по пользователю, команде, типу события и дате. CLI rdc audit для программного экспорта. Операции машин также записываются в системные журналы для обеспечения защиты в глубину. |
| Треб. 12, Организационные политики | Поддержка информационной безопасности организационными политиками и программами | Самостоятельное размещение устраняет область стороннего обработчика (Треб. 12.8). Сокращает границу соответствия PCI DSS. |
Сегментация сети
PCI DSS требует серьёзного подхода к сегментации. Я часто вижу, как команды накладывают правила iptables поверх слабой изоляции. Это не работает. Те, кто проходит аудиты, строят сегментацию в архитектуру. Rediacc обеспечивает это по умолчанию:
- Каждый репозиторий работает в собственном Docker daemon по адресу
/var/run/rediacc/docker-<networkId>.sock - Репозитории имеют изолированные подсети loopback IP (127.0.x.x/26, 61 используемый IP на сеть)
- Правила iptables, применяемые renet, блокируют весь межда-daemon трафик
- Контейнеры из разных репозиториев не могут взаимодействовать на сетевом уровне
Репозиторий обработки платежей работает на собственном Docker-демоне и собственной подсети loopback, сетевым образом изолирован от каждого другого приложения на той же машине. Дополнительных правил брандмауэра писать не нужно.
Сокращение области охвата
Самостоятельно размещённый Rediacc сокращает область соответствия требованиям. Не нужно вручную настраивать сегментацию сети — это встроено в архитектуру. Документация здесь ещё требует улучшений, но сама изоляция работает надёжно.
- Нет стороннего облачного провайдера в потоке данных держателя карты
- Нет SaaS-поставщика для оценки по Треб. 12.8 (сторонние поставщики услуг)
- Физическая безопасность под вашим прямым управлением
- Ключи шифрования хранятся только в локальной конфигурации оператора
Случаи правоприменения
Большинство сбоев при PCI-аудитах сводятся к одному из двух: либо сегментация была неполной, либо шифрование никогда не проверялось в реальных условиях атак.
- Heartland Payment Systems (2008): атакующие перемещались латерально через 48 баз данных из-за плохой сегментации сети, раскрыв 130 миллионов номеров карт. Общие затраты превысили 200 миллионов долларов.
- Target (2013): атакующие перешли от сетевого доступа поставщика HVAC к системам POS из-за плоской сетевой архитектуры, захватив 40 миллионов платёжных карт. Урегулирование на 18,5 млн долларов с 47 генеральными прокурорами штатов.