Перейти к основному содержанию Перейти к навигации Перейти к нижнему колонтитулу
Ограниченное время: Программа Design Partner. План BUSINESS бесплатно на всю жизнь.

Соответствие PCI DSS

Как Rediacc соответствует требованиям PCI DSS: неизменяемые резервные копии, автоматическая изоляция сети и контроль доступа на инфраструктурном уровне.

PCI DSS v4.0.1. обязательна для каждого, кто работает с данными платёжных карт. По сути, требования сводятся к одному: полная изоляция на уровне инфраструктуры от всего остального.

Ссылка: PCI Security Standards Council

Сопоставление требований

Требование PCI DSSОписаниеВозможность Rediacc
Треб. 1, Средства сетевой безопасностиУстановка и поддержка средств сетевой безопасностиПравила iptables для каждого репозитория блокируют весь межрепозиторный трафик. Каждый репозиторий получает собственную подсеть loopback IP (/26).
Треб. 2, Безопасные конфигурацииПрименение безопасных конфигураций ко всем компонентам системыХуки жизненного цикла Rediaccfile обеспечивают детерминированные воспроизводимые конфигурации. Без учётных данных по умолчанию. Ключи LUKS генерируются оператором.
Треб. 3, Защита хранимых данныхЗащита хранимых данных аккаунта шифрованиемШифрование LUKS2 AES-256 на всех томах репозиториев. Шифрование обязательно, не опционально. Криптографическое удаление через уничтожение ключа LUKS.
Треб. 4, Защита данных при передачеЗащита данных держателя карты сильной криптографией при передачеВсе удалённые операции по SSH. Транспорт резервных копий зашифрован сквозным образом. Без незашифрованных путей данных.
Треб. 6, Безопасная разработкаРазработка и поддержка безопасных систем и ПОCoW-клонирование создаёт изолированные тестовые среды без раскрытия данных карт продакшена сетям разработки. Рабочий процесс fork-test-promote.
Треб. 7, Ограничение доступаОграничение доступа к компонентам системы и данным держателя по деловой необходимостиСокеты Docker daemon для каждого репозитория. Доступ к одному репозиторию не даёт доступа к другому. Аутентификация по SSH-ключу.
Треб. 8, Идентификация и аутентификацияИдентификация пользователей и аутентификация доступаАутентификация по SSH-ключу. API-токены с привязкой к IP и ограниченными разрешениями. Двухфакторная аутентификация (TOTP).
Треб. 9, Ограничение физического доступаОграничение физического доступа к данным держателяСамостоятельное размещение: физическая безопасность под вашим прямым контролем. Шифрование LUKS делает украденные диски нечитаемыми.
Треб. 10, Журналирование и мониторингЖурналирование и мониторинг всех обращений к компонентам системы и данным70+ типов событий (аутентификация, API-токены, конфигурация, лицензирование, операции машин). Панель администратора и портал с фильтрацией по пользователю, команде, типу события и дате. CLI rdc audit для программного экспорта. Операции машин также записываются в системные журналы для обеспечения защиты в глубину.
Треб. 12, Организационные политикиПоддержка информационной безопасности организационными политиками и программамиСамостоятельное размещение устраняет область стороннего обработчика (Треб. 12.8). Сокращает границу соответствия PCI DSS.

Сегментация сети

PCI DSS требует серьёзного подхода к сегментации. Я часто вижу, как команды накладывают правила iptables поверх слабой изоляции. Это не работает. Те, кто проходит аудиты, строят сегментацию в архитектуру. Rediacc обеспечивает это по умолчанию:

  • Каждый репозиторий работает в собственном Docker daemon по адресу /var/run/rediacc/docker-<networkId>.sock
  • Репозитории имеют изолированные подсети loopback IP (127.0.x.x/26, 61 используемый IP на сеть)
  • Правила iptables, применяемые renet, блокируют весь межда-daemon трафик
  • Контейнеры из разных репозиториев не могут взаимодействовать на сетевом уровне

Репозиторий обработки платежей работает на собственном Docker-демоне и собственной подсети loopback, сетевым образом изолирован от каждого другого приложения на той же машине. Дополнительных правил брандмауэра писать не нужно.

Сокращение области охвата

Самостоятельно размещённый Rediacc сокращает область соответствия требованиям. Не нужно вручную настраивать сегментацию сети — это встроено в архитектуру. Документация здесь ещё требует улучшений, но сама изоляция работает надёжно.

  • Нет стороннего облачного провайдера в потоке данных держателя карты
  • Нет SaaS-поставщика для оценки по Треб. 12.8 (сторонние поставщики услуг)
  • Физическая безопасность под вашим прямым управлением
  • Ключи шифрования хранятся только в локальной конфигурации оператора

Случаи правоприменения

Большинство сбоев при PCI-аудитах сводятся к одному из двух: либо сегментация была неполной, либо шифрование никогда не проверялось в реальных условиях атак.