Ana içeriğe atla Navigasyona atla Alt bilgiye atla
Sınırlı süre: Design Partner Programı. BUSINESS planında ömür boyu ücretsiz.

PCI DSS Uyumluluğu

Rediacc'ın PCI DSS gereksinimlerine nasıl uyum sağladığı: alınmaz yedeklemeler, otomatik ağ izolasyonu ve altyapı düzeyinde erişim kontrolü.

Kısacası, kart sahibi verisi işliyorsanız PCI DSS v4.0.1 isteğe bağlı değildir. PCI DSS v4.0.1, tek bir gereksinime indirgenir: her şeyden altyapı düzeyinde izolasyon.

Referans: PCI Security Standards Council

Gereksinim Eşlemesi

PCI DSS GereksinimleriAçıklamaRediacc Yeteneği
Ger. 1, Ağ güvenliği kontrolleriAğ güvenliği kontrollerini kurma ve sürdürmeDepo başına iptables kuralları depolar arası tüm trafiği engeller. Her depo kendi loopback IP alt ağını (/26) alır.
Ger. 2, Güvenli yapılandırmalarTüm sistem bileşenlerine güvenli yapılandırmalar uygulamaRediaccfile yaşam döngüsü kancaları belirleyici, tekrarlanabilir yapılandırmalar dayatır. Varsayılan kimlik bilgisi yok. LUKS anahtarları operatör tarafından oluşturulur.
Ger. 3, Depolanan hesap verilerini korumaDepolanan hesap verilerini şifreleme ile korumaTüm depo birimlerinde LUKS2 AES-256 şifreleme. Şifreleme zorunludur, isteğe bağlı değildir. LUKS anahtar yok etme ile kriptografik silme.
Ger. 4, Aktarım sırasında veri korumaKart sahibi verilerini iletim sırasında güçlü kriptografi ile korumaTüm uzak işlemler SSH üzerinden. Yedekleme aktarımı uçtan uca şifrelenir. Şifrelenmemiş veri yolu yok.
Ger. 6, Güvenli geliştirmeGüvenli sistemler ve yazılımlar geliştirme ve sürdürmeCoW klonlama, üretim kart verilerini geliştirme ağlarına açmadan izole test ortamları oluşturur. Fork-test-yükseltme iş akışı.
Ger. 7, Erişimi kısıtlamaİş gereksinimi temelinde sistem bileşenleri ve kart sahibi verilerine erişimi kısıtlamaDepo başına Docker daemon soketleri. Bir depoya erişim diğerine erişim sağlamaz. SSH anahtar tabanlı kimlik doğrulama.
Ger. 8, Kullanıcı tanımlama ve doğrulamaKullanıcıları tanımlama ve sistem bileşenlerine erişimi doğrulamaSSH anahtar kimlik doğrulaması. IP bağlama ve kapsamlı izinler ile API token’ları. İki faktörlü kimlik doğrulama (TOTP).
Ger. 9, Fiziksel erişimi kısıtlamaKart sahibi verilerine fiziksel erişimi kısıtlamaKendi sunucunuzda barındırma: fiziksel güvenlik doğrudan sizin kontrolünüzde. LUKS şifreleme çalınan sürücüleri okunamaz hale getirir.
Ger. 10, Günlük kaydı ve izlemeTüm sistem bileşenleri ve kart sahibi verilerine erişimi kaydetme ve izleme70+ olay türü (kimlik doğrulama, API token’ları, yapılandırma, lisanslama, makine işlemleri). Kullanıcı, ekip, tür ve tarih bazında filtreleme ile yönetici paneli ve portal. rdc audit CLI ile programatik dışa aktarım. Makine işlemleri ayrıca savunma derinliği için sistem günlüklerinde de kaydedilir.
Ger. 12, Kurumsal politikalarBilgi güvenliğini kurumsal politikalar ve programlarla desteklemeKendi sunucunuzda barındırma üçüncü taraf işleyici kapsamını ortadan kaldırır (Ger. 12.8). PCI DSS uyumluluk sınırını daraltır.

Ağ Segmentasyonu

PCI DSS segmentasyona ağır basıyor. Yetersiz izolasyonun üzerine iptables kuralları katmanlandıran ekipler görüyorum. Böyle çalışmıyor. Başarıyı yakalayanlar segmentasyonu mimariye yerleştirmiş olanlar. Rediacc bunu varsayılan olarak sağlıyor:

  • Her depo /var/run/rediacc/docker-<networkId>.sock adresinde kendi Docker daemon’ında çalışır
  • Depolar izole loopback IP alt ağlarına sahiptir (127.0.x.x/26, ağ başına 61 kullanılabilir IP)
  • renet tarafından uygulanan iptables kuralları daemon’lar arası tüm trafiği engeller
  • Farklı depolardan konteynerler ağ düzeyinde iletişim kuramaz

Bir ödeme işleme deposu kendi Docker daemon’ında ve kendi loopback alt ağında çalışır; aynı makinedeki her diğer uygulamadan ağ olarak izole edilmiştir. Yazılacak ek güvenlik duvarı kuralı yoktur.

Kapsam Azaltma

Kendi sunucunuzda barındırılan Rediacc, PCI DSS uyumluluk kapsamını daraltır. Ağ segmentasyonunu el ile yapılandırmanız gerekmez; tasarım gereği otomatiktir. Bu kısım için hala dokümantasyonumuz iyileştirilmesi gerekiyor ama izolasyon sağlam:

  • Kart sahibi veri akışında üçüncü taraf bulut sağlayıcı yok
  • Ger. 12.8 kapsamında değerlendirilecek SaaS sağlayıcısı yok (üçüncü taraf hizmet sağlayıcılar)
  • Fiziksel güvenlik kontrolleri doğrudan sizin yönetiminizde
  • Şifreleme anahtarları yalnızca operatörün yerel yapılandırmasında saklanır

Uygulama Vakaları

En çok PCI denetim başarısızlığı iki şeyden birine indirgenir: asla düzgün şekilde izole edilmemiş segmentasyon ya da gerçek saldırılara karşı hiçbir zaman test edilmemiş şifreleme.