Стандарт безопасности данных индустрии платёжных карт (PCI DSS) обязателен для любой организации, которая хранит, обрабатывает или передаёт данные держателей карт. Текущая версия — PCI DSS v4.0.1.
Ссылка: PCI Security Standards Council
Сопоставление требований
| Требование PCI DSS | Описание | Возможность Rediacc |
|---|---|---|
| Треб. 1, Средства сетевой безопасности | Установка и поддержка средств сетевой безопасности | Правила iptables для каждого репозитория блокируют весь межрепозиторный трафик. Каждый репозиторий получает собственную подсеть loopback IP (/26). |
| Треб. 2, Безопасные конфигурации | Применение безопасных конфигураций ко всем компонентам системы | Хуки жизненного цикла Rediaccfile обеспечивают детерминированные воспроизводимые конфигурации. Без учётных данных по умолчанию. Ключи LUKS генерируются оператором. |
| Треб. 3, Защита хранимых данных | Защита хранимых данных аккаунта шифрованием | Шифрование LUKS2 AES-256 на всех томах репозиториев. Шифрование обязательно, не опционально. Криптографическое удаление через уничтожение ключа LUKS. |
| Треб. 4, Защита данных при передаче | Защита данных держателя карты сильной криптографией при передаче | Все удалённые операции по SSH. Транспорт резервных копий зашифрован сквозным образом. Без незашифрованных путей данных. |
| Треб. 6, Безопасная разработка | Разработка и поддержка безопасных систем и ПО | CoW-клонирование создаёт изолированные тестовые среды без раскрытия данных карт продакшена сетям разработки. Рабочий процесс fork-test-promote. |
| Треб. 7, Ограничение доступа | Ограничение доступа к компонентам системы и данным держателя по деловой необходимости | Сокеты Docker daemon для каждого репозитория. Доступ к одному репозиторию не даёт доступа к другому. Аутентификация по SSH-ключу. |
| Треб. 8, Идентификация и аутентификация | Идентификация пользователей и аутентификация доступа | Аутентификация по SSH-ключу. API-токены с привязкой к IP и ограниченными разрешениями. Двухфакторная аутентификация (TOTP). |
| Треб. 9, Ограничение физического доступа | Ограничение физического доступа к данным держателя | Самостоятельное размещение: физическая безопасность под вашим прямым контролем. Шифрование LUKS делает украденные диски нечитаемыми. |
| Треб. 10, Журналирование и мониторинг | Журналирование и мониторинг всех обращений | Более 40 типов событий на уровне аккаунта (аутентификация, API-токены, конфигурация, лицензирование). Панель администратора с фильтрацией по пользователю, команде и дате. rdc audit CLI для программного экспорта. Операции на уровне машины аудитируемы через SSH и системные журналы. |
| Треб. 12, Организационные политики | Поддержка информационной безопасности организационными политиками и программами | Самостоятельное размещение устраняет область стороннего обработчика (Треб. 12.8). Сокращает границу соответствия PCI DSS. |
Сегментация сети
PCI DSS придаёт большое значение сегментации сети для изоляции среды данных держателя карты (CDE). Rediacc обеспечивает это на уровне архитектуры:
- Каждый репозиторий работает в собственном Docker daemon по адресу
/var/run/rediacc/docker-<networkId>.sock - Репозитории имеют изолированные подсети loopback IP (127.0.x.x/26, 61 используемый IP на сеть)
- Правила iptables, применяемые renet, блокируют весь межда-daemon трафик
- Контейнеры из разных репозиториев не могут взаимодействовать на сетевом уровне
Репозиторий обработки платежей сетевым образом изолирован от всех других приложений на той же машине. Дополнительная настройка брандмауэра не требуется.
Сокращение области охвата
Rediacc с самостоятельным размещением сокращает область соответствия PCI DSS:
- Нет стороннего облачного провайдера в потоке данных держателя карты
- Нет SaaS-поставщика для оценки по Треб. 12.8 (сторонние поставщики услуг)
- Физическая безопасность под вашим прямым управлением
- Ключи шифрования хранятся только в локальной конфигурации оператора
Случаи правоприменения
Плохая сегментация сети и отсутствие шифрования привели к дорогостоящим правоприменительным действиям PCI DSS:
- Heartland Payment Systems (2008): атакующие перемещались латерально через 48 баз данных из-за плохой сегментации сети, раскрыв 130 миллионов номеров карт. Общие затраты превысили 200 миллионов долларов.
- Target (2013): атакующие перешли от сетевого доступа поставщика HVAC к системам POS из-за плоской сетевой архитектуры, захватив 40 миллионов платёжных карт. Урегулирование на 18,5 млн долларов с 47 генеральными прокурорами штатов.