Стандарт безопасности данных индустрии платёжных карт (PCI DSS) обязателен для любой организации, которая хранит, обрабатывает или передаёт данные держателей карт. Текущая версия -- PCI DSS v4.0.1.

Ссылка: [PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library/)

## Сопоставление требований

| Требование PCI DSS | Описание | Возможность Rediacc |
|--------------------|---------|--------------------|
| **Треб. 1**, Средства сетевой безопасности | Установка и поддержка средств сетевой безопасности | Правила iptables для каждого репозитория блокируют весь межрепозиторный трафик. Каждый репозиторий получает собственную подсеть loopback IP (/26). |
| **Треб. 2**, Безопасные конфигурации | Применение безопасных конфигураций ко всем компонентам системы | Хуки жизненного цикла Rediaccfile обеспечивают детерминированные воспроизводимые конфигурации. Без учётных данных по умолчанию. Ключи LUKS генерируются оператором. |
| **Треб. 3**, Защита хранимых данных | Защита хранимых данных аккаунта шифрованием | Шифрование LUKS2 AES-256 на всех томах репозиториев. Шифрование обязательно, не опционально. Криптографическое удаление через уничтожение ключа LUKS. |
| **Треб. 4**, Защита данных при передаче | Защита данных держателя карты сильной криптографией при передаче | Все удалённые операции по SSH. Транспорт резервных копий зашифрован сквозным образом. Без незашифрованных путей данных. |
| **Треб. 6**, Безопасная разработка | Разработка и поддержка безопасных систем и ПО | CoW-клонирование создаёт изолированные тестовые среды без раскрытия данных карт продакшена сетям разработки. Рабочий процесс fork-test-promote. |
| **Треб. 7**, Ограничение доступа | Ограничение доступа к компонентам системы и данным держателя по деловой необходимости | Сокеты Docker daemon для каждого репозитория. Доступ к одному репозиторию не даёт доступа к другому. Аутентификация по SSH-ключу. |
| **Треб. 8**, Идентификация и аутентификация | Идентификация пользователей и аутентификация доступа | Аутентификация по SSH-ключу. API-токены с привязкой к IP и ограниченными разрешениями. Двухфакторная аутентификация (TOTP). |
| **Треб. 9**, Ограничение физического доступа | Ограничение физического доступа к данным держателя | Самостоятельное размещение: физическая безопасность под вашим прямым контролем. Шифрование LUKS делает украденные диски нечитаемыми. |
| **Треб. 10**, Журналирование и мониторинг | Журналирование и мониторинг всех обращений | Более 40 типов событий на уровне аккаунта (аутентификация, API-токены, конфигурация, лицензирование). Панель администратора с фильтрацией по пользователю, команде и дате. `rdc audit` CLI для программного экспорта. Операции на уровне машины аудитируемы через SSH и системные журналы. |
| **Треб. 12**, Организационные политики | Поддержка информационной безопасности организационными политиками и программами | Самостоятельное размещение устраняет область стороннего обработчика (Треб. 12.8). Сокращает границу соответствия PCI DSS. |

## Сегментация сети

PCI DSS придаёт большое значение сегментации сети для изоляции среды данных держателя карты (CDE). Rediacc обеспечивает это на уровне архитектуры:

- Каждый репозиторий работает в собственном Docker daemon по адресу `/var/run/rediacc/docker-<networkId>.sock`
- Репозитории имеют изолированные подсети loopback IP (127.0.x.x/26, 61 используемый IP на сеть)
- Правила iptables, применяемые renet, блокируют весь межда-daemon трафик
- Контейнеры из разных репозиториев не могут взаимодействовать на сетевом уровне

Репозиторий обработки платежей сетевым образом изолирован от всех других приложений на той же машине. Дополнительная настройка брандмауэра не требуется.

## Сокращение области охвата

Rediacc с самостоятельным размещением сокращает область соответствия PCI DSS:

- Нет стороннего облачного провайдера в потоке данных держателя карты
- Нет SaaS-поставщика для оценки по Треб. 12.8 (сторонние поставщики услуг)
- Физическая безопасность под вашим прямым управлением
- Ключи шифрования хранятся только в локальной конфигурации оператора

## Случаи правоприменения

Плохая сегментация сети и отсутствие шифрования привели к дорогостоящим правоприменительным действиям PCI DSS:

- Heartland Payment Systems (2008): атакующие перемещались латерально через 48 баз данных из-за плохой сегментации сети, раскрыв 130 миллионов номеров карт. [Общие затраты превысили 200 миллионов долларов.](https://www.philadelphiafed.org/-/media/frbp/assets/consumer-finance/discussion-papers/d-2010-january-heartland-payment-systems.pdf)
- Target (2013): атакующие перешли от сетевого доступа поставщика HVAC к системам POS из-за плоской сетевой архитектуры, захватив 40 миллионов платёжных карт. [Урегулирование на 18,5 млн долларов с 47 генеральными прокурорами штатов.](https://oag.ca.gov/news/press-releases/attorney-general-becerra-target-settles-record-185-million-credit-card-data)