PCI DSS хостинг — это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт. Выбрав такую услугу, организация закрывает значительную часть требований стандарта PCI DSS. Это означает, что хостинг-провайдер берет на себя выполнение части требований стандарта — от физической защиты размещаемых серверов до администрирования операционных систем. При этом с самой организации снимаются вопросы, связанные с контролем физического доступа к серверам, видеонаблюдением, размещением управляемых межсетевых экранов, систем обнаружения вторжений и т. д.
| Важно! Все требования стандарта PCI DSS являются обязательными. Но некоторые из них могут быть неприменимы к организации по причине отсутствия тех или иных компонентов информационной инфраструктуры. К примеру, может отсутствовать беспроводная сеть, тогда требования по обеспечению безопасности беспроводных сетей выполняться не должны. |
PCI DSS сертифицированные провайдеры
PCI DSS сертифицированный провайдер — это компания, предоставляющая услугу сертифицированного PCI DSS хостинга (PCI DSS Compliant Hosting), в том числе облачного, и администрирования в соответствии с требованиями стандарта PCI DSS. Согласно этим требованиям, любой хостинг-провайдер, имеющий доступ к данным о держателях карт либо способный повлиять на их безопасность, проходит обязательную сертификацию по PCI DSS и периодически подтверждает соблюдение всех норм работы с платежной информацией клиентов. Наличие свидетельства о соответствии стандарту безопасности данных индустрии платежных карт PCI DSS говорит о прохождении поставщиком сертификации. Подтверждение соответствия стандарту PCI DSS для поставщика услуг — это, в первую очередь, обязательство перед своими клиентами по обеспечению безопасности платежных данных, а также соответствие требованиям, предъявляемым международными платежными системами Visa и MasterCard.
Обязанности и требования, предъявляемые к PCI DSS провайдеру
В части реализации безопасности физической и виртуальной инфраструктуры, согласно требованиям стандарта PCI DSS, хостинг-провайдер должен применять определенные меры защиты. К примеру, для организации физической безопасности требуется контроль и ограничение физического доступа во все помещения, в которых расположены компоненты среды данных платежных карт. Для этого необходимо использовать запирающие устройства, системы контроля доступа, включая видеонаблюдение. Также поставщик услуг несет ответственность за безопасность переданных данных о держателях карт, в том числе и данных, находящихся на размещаемых серверах.
PCI DSS сертифицированный провайдер должен гарантировать соблюдение требований безопасности:
- Обеспечивать защиту облачной инфраструктуры.
- Обеспечивать постоянный контроль безопасности.
- Выполнять наблюдение за журналами протоколирования событий.
- Своевременно предупреждать о нештатных ситуациях.
- Управлять политиками безопасности.
Чем помогает PCI DSS хостинг?
Как известно, аутсорсинг решает множество задач, облегчая и упрощая жизнь организациям. Если раньше многие компании разворачивали информационную инфраструктуру в собственном серверном помещении и выполняли все требования соответствия необходимым стандартам, то сейчас многие отдают предпочтение профессионалам своего дела в лице опытных, высококвалифицированных и, что немаловажно, сертифицированных поставщиков услуг.
Переводя свою инфраструктуру в облако PCI DSS сертифицированного хостинг-провайдера или, другими словами, используя услугу PCI DSS хостинга, организация тем самым повышает уровень защищенности среды обработки карточных данных, снижая риски финансовых потерь от возможных инцидентов информационной безопасности.
| Использование услуги PCI DSS хостинга помогает организациям снять с себя ряд требований, необходимых для соответствия стандарту, которые выполняются самим поставщиком. Без использования подобной услуги организации выполняют требования стандарта в полном объеме. |
Эти требования чаще всего выполняет сама организация, а что касается внутренних каналов связи между серверами на стороне сертифицированного PCI DSS хостинг-провайдера, такая задача решается поставщиком услуг. Поскольку поставщик сертифицированный, такие каналы рассматриваются как доверенные.
Особенности разделения ответственности по выполнению требований стандарта PCI DSS
При передаче на аутсорсинг каких-либо функций по вводу, передаче, обработке, хранению данных платежных карт, согласно пункту 12.8 стандарта, каждая организация должна убедиться, что поставщик соответствует необходимым требованиям.
Если имеет место разделение ответственности за выполнение требований стандарта PCI DSS, то возможны несколько ситуаций:
Ситуация 1. Сертифицируется мерчант с оборотом по картам менее 1 млн транзакций в год
Сертифицируется мерчант (торгово-сервисное предприятие, ТСП) с бизнес-процессом, например, электронной коммерции. Его объем транзакций по картам VISA и MasterCard в год — менее 1 млн транзакций. В этом случае ему необходимо подтвердить соответствие PCI DSS с помощью листа самооценки SAQ, разработанного Советом PCI SSC, и выполнения ASV-сканирования.
Обратите внимание, что форма листа самооценки бывает нескольких типов (A, A-EP, B, B-IP, C, C-VT, P2PE-HW, D) и зависит от специфики обработки данных держателей карт в организации. Теперь необходимо разобраться, какой именно лист самооценки следует выбрать.
| Вариант | Применимость | Количество вопросов |
| SAQ A | Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по вводу и обработке данных платежных карт на аутсорсинг поставщику услуг, подтвердившему соответствие PCI DSS, и не имеющие возможность влиять на безопасность платежных транзакций.Неприменим к транзакциям, осуществляемым с предъявлением платежной карты. | 14 |
| SAQ A-EP | Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по передаче, обработке и хранению данных платежных карт на аутсорсинг поставщику услуг, подтвердившему соответствие PCI DSS, при этом способные влиять на безопасность платежных транзакций.Применим только к электронной коммерции. | 139 |
| SAQ B | Мерчанты, использующие механические импринтеры или выделенные POS-терминалы, использующие телефонную линию, не передающие карточные данные через Интернет и не имеющие электронных хранилищ карточных данных. Самый распространенный вариант на рынке (терминал от банка).Неприменим к электронной коммерции. | 41 |
| SAQ B-IP | Мерчанты, использующие выделенные POS-терминалы, прошедшие проверку на соответствие стандарту PCI PTS, использующие IP-соединение с процессинговым центром и не имеющие электронных хранилищ карточных данных.Неприменим к электронной коммерции. | 83 |
| SAQ C-VT | Мерчанты, вручную через Интернет заполняющие карточными данными о транзакции форму виртуального терминала поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных.Неприменим к электронной коммерции. | 74 |
| SAQ C | Мерчанты, использующие платежные приложения и системы, соединенные с сетью Интернет, и не имеющие электронных хранилищ карточных данных.Неприменим к электронной коммерции. | 140 |
| SAQ P2PE-HW | Мерчанты, использующие аппаратные терминалы, управляемые при помощи сертифицированного P2PE-решения и являющиеся его частью, не имеющие электронных хранилищ карточных данных.Неприменим к электронной коммерции. | 35 |
| SAQ D | Все мерчанты и все поставщики услуг, кроме тех, кому, согласно требованиям МПС или эквайера, необходим ISA- или QSA-аудит. | 329 |
- Если мерчант пользуется услугами поставщика услуг (платежным шлюзом) и при этом сам не может повлиять на безопасность данных платежных карт (ДПК), то ему необходимо подтвердить соответствие, заполнив лист самооценки SAQ A.
- Если он может повлиять на ДПК, но не обрабатывает их, то SAQ A-EP; если обрабатывает или хранит в своей инфраструктуре, то SAQ D.
- Если мерчант пользуется услугами, например, облачного хостинг-провайдера (такого, как «ИТ-ГРАД»), то часть требований SAQ A-EP и SAQ D облачный хостинг-провайдер может выполнить за мерчанта. Однако ответственность будет лежать на мерчанте, так как он подтверждает соответствие, но через договорные отношения с хостинг-провайдером ему будет предоставляться услуга по администрированию инфраструктуры в соответствии с требованиями PCI DSS.
Сертифицируется мерчант с объемом транзакций по VISA и MasterCard более 1 млн в год. В таком случае мерчант обязан подтвердить соответствие через QSA-аудит. Тут схема аналогичная. Часть требований может взять на себя облачный хостинг-провайдер.
Сертифицируется поставщик услуг (платежный шлюз, банк и т. п.), которому необходимо пройти QSA-аудит. Администрирование компонентов информационной инфраструктуры в соответствии с требованиями PCI DSS хостинг-провайдером также возможно. Хостинг-провайдер при этом должен быть сертифицирован по PCI DSS (требование 12.8 стандарта). Подтвердить соответствие через QSA-аудит такому поставщику потребуется независимо от оборота, поскольку ни один эквайер в здравом уме и твердой памяти не подключит поставщика услуг с листом самооценки.
Оформление взаимоотношений с хостинг-провайдером — это, пожалуй, важнейший этап на пути взаимодействия с поставщиком услуг. Сделав это грамотно и корректно, вы будете иметь представление об ожидаемых результатах. Перед началом взаимодействия с поставщиком необходимо тщательно проверить его благонадежность, а в дальнейшем осуществлять мониторинг выполнения требований на всем протяжении договорных отношений. Что касается последнего, то организации необходимо заключить письменное соглашение с поставщиком услуг о том, что хостинг-провайдер несет ответственность за безопасность переданных ему данных о держателях карт, включая данные, находящиеся на размещенных серверах. А также однозначно разграничить ответственность за выполнение требований PCI DSS между организацией и поставщиком услуг, документально зафиксировав это разграничение в виде подписанной матрицы ответственности по выполнению требований стандарта.
| Матрица ответственности представляет собой документ, оформленный в виде таблицы, где в строках прописаны задачи по выполнению требований стандарта, а в колонке «зоны ответственности» определены ответственные стороны. |
Таблица 2. Фрагмент матрицы ответственности сторон
| № | Требования PCI DSS | Ответственный за выполнение |
| ... | ... | ... |
| 1.1.1 | Формальный процесс утверждения и тестирования всех… | Клиент, Поставщик |
| 1.1.2 | Актуальная схема сети с указанием всех каналов доступа… | Клиент |
| 1.1.3 | Требования к межсетевому экранированию каждого… | Поставщик |
| ... | ... | ... |
Рисунок 1. Разные объёмы выполнения требований PCI DSS поставщиком услуг
Как убедиться, что инфраструктура поставщика соответствует требованиям стандарта PCI DSS?Источниками информации о сертифицированных бизнес-процессах (сервисах) поставщика услуг являются Свидетельство о соответствии ( AOC) и Отчёт о соответствии ( ROC), которые выдаются поставщику услуг по результатам внешнего сертификационного QSA-аудита. Наличие таких документов свидетельствует о выполнении организацией требований в рамках границ применимости, прописанных в этих документах.
Управляемые сервисы PCI DSS и уровни выполнения требований
Сегодня для российского рынка является актуальной услуга по управляемым сервисам PCI DSS, которая может оказаться особенно полезной для небольших торгово-сервисных предприятий, не имеющих своих подразделений информационных технологий и информационной безопасности.
| Управляемые сервисы PCI DSS ( Management Services, MS) — это устойчивый термин, активно использующийся в индустрии платежных карт. Суть его заключается в том, что хостинг-провайдер, именуемый MSP ( Management Service Provider) — поставщик услуг с управляемыми сервисами, предоставляет как услугу своим клиентам не только аренду оборудования, аренду виртуальной инфраструктуры в модели IaaS в среде, соответствующей требованиям PCI DSS, но и администрирование (управление) инфраструктурой в соответствии с требованиями стандарта. |
Рисунок 2. Разные уровни границ применимости у провайдеров услуг, сертифицированных по PCI DSS
Российский рынок PCI DSS хостинг-провайдеровЕсли ранее на территории Российской Федерации не наблюдалось ни одного PCI DSS сертифицированного хостинг-провайдера, то сегодня картина несколько изменилась. Однако многие из них ограничиваются предоставлением лишь какой-то одной услуги. Выбирая такого поставщика, клиент, так или иначе, столкнется с определенными ограничениями.
Что имеется в виду? Помните, выше мы писали, что наличие Свидетельства о соответствии (AOC 3.0) и Отчета о соответствии (ROC 3.0) подтверждает выполнение поставщиком услуг требований в рамках границ применимости, прописанных в этих документах? На российском рынке хостинг-провайдеры, сертифицированные по PCI DSS, в подавляющем большинстве имеют границы применимости своего сертификата только на уровне Collocation, а это означает, что поставщик сможет выполнять требования стандарта лишь в рамках озвученной границы применимости. Таким образом, вопросы выполнения требований стандарта для виртуальной инфраструктуры и администрирования лягут на плечи самого клиента, а поставщик будет гарантировать только физическую безопасность для размещенного оборудования.
Информация о границах применимости должна содержаться в Свидетельстве о соответствии ( AOC), который каждый поставщик, сертифицированный по PCI DSS, должен предоставить по требованию клиента. Сертификат же соответствия — это нерегламентированная форма, которая выдается по доброй воле аудитора. Основным документом является AOC — свидетельство о соответствии, в котором отмечаются сервисы и описываются ограничения области аудита.
Рисунок 3. Пример выдержки из AOC, показывающей, что в область применимости включены управляемые
сервисы (Managed Services). В checkbox «other services» включается также словесное описание сервисов.
сервисы (Managed Services). В checkbox «other services» включается также словесное описание сервисов.
Давайте разберемся, какими вообще могут быть границы предоставления услуг в рамках PCI DSS для облачного поставщика. Итак, выделяют:
- Collocation, или физическое размещение оборудования в машинных залах ЦОД.
- Виртуальная инфраструктура — размещение виртуальных серверов. В таких границах применимости поставщик услуг может взять на себя обеспечение физической безопасности и администрирование среды виртуализации.
- MSP ( Management Service Provider) — администрирование операционных систем, серверов приложений и баз данных, управление сетевым оборудованием. Границы ответственности между поставщиком и клиентом в части администрирования должны регулироваться в матрице ответственности.
| «Управляемые сервисы PCI DSS в мире существуют уже давно, но в России появляются только сейчас. Это, несомненно, удобная услуга для организаций, которые не хотят или не могут ввиду технических или кадровых ограничений поддерживать . Пользование такими услугами не освобождает от необходимости соответствовать требованиям стандарта сертифицируемой организации, однако существенно уменьшает количество применимых требований, что упрощает процесс сертификации. При таком взаимодействии стоит уделить особое внимание требованию 12.8, которое устанавливает порядок взаимодействия с поставщиками услуг, в том числе предоставляющими управляемые сервисы PCI DSS». Петр Шаповалов, инженер по защите информации ООО «». |
| «Для облачного провайдера, предоставляющего в аренду виртуальную инфраструктуру по модели IaaS, крайне важно иметь возможность оказывать своим клиентам услуги управляемых сервисов PCI DSS. Услуга MSP, как максимальное развитие услуги «», помогает компаниям наиболее полно воспользоваться преимуществами аутсорсинга в области выполнения требований стандарта и сосредоточить свои усилия на развитии бизнеса». Александр Стародубцев, заместитель генерального директора ООО «» |
