PCI DSS и хостинг-провайдеры

Начиная с версии стандарта 2.0 вместе с требованиями к виртуализации появились требования к хостинг-провайдерам. В версии 3.0 данные требования претерпели изменения, но все же остались,

А это значит, что вполне допустимо размещать сайты из scope PCI DSS на ресурсах публичного хостинг-провайдера, который предоставляют общую среду размещения данных для нескольких клиентов на одном и том же сервере.

Попытаемся разобраться чего это будет стоить для клиента и как сильно надо заморачиваться провайдеру, чтобы удовлетворить требованиям PCI DSS.

1. Хостинг-провайдеры должны обеспечивать безопасность сред и данных, принадлежащих каждой из обслуживаемых сторон
Как и принято в PCI DSS общее требование обо всем и не о чем. Природа требования вполне очевидна: совместное использование серверов клиентами как попадающими под требования PCI DSS, так и нет, Атака на PCI DSS-ого клиента возможна через менее защищенного не PCI DSS-ого.

2. Дополнительное требование для поставщиков услуг: поставщики услуг, имеющие удаленный доступ к помещению клиента (например, для поддержки систем или серверов кассовых терминалов), обязаны использовать уникальные учетные данные для аутентификации (например, пароль/парольная фраза) для каждого клиента.
К счастью и в силу торжества здравого смысла, данное требование исключает хостинг-провайдеров, а до июля 2015 года носит рекомендательный характер.

3. Внедрить и поддерживать следующие политики и процедуры взаимодействия с поставщиками услуг, которые имеют доступ к данным держателей карт или могут повлиять на безопасность данных держателей карт.
Данное требование распространяется на клиентов, а не хостинг-провайдера, однако, клиент может и должен спросить провайдера за наличие соответствующих политик, регламентов, процедур. Говоря проще: если, вы передаете хостинг-провайдеру данные держателей карт - вы идиот ваш хостинг-провайдер идет в бой с PCI DSS по полной программе, с выполнением всех требований стандарта.

Добираемся до самого интересного: "Приложение А. Дополнительные требования PCI DSS для поставщиков услуг хостинга", данное приложение ставит крест на нашем желании разместить сайтик из scope PCI DSS где-нибудь на стороне.

4. Согласно требованиям 12.8 и 12.9 все поставщики услуг, имеющие доступ к данным держателей карт (включая поставщиков услуг общего хостинга) должны выполнять требования PCI DSS.
Для хостинг-провайдера это значит, что он идет на аудит по полной программе, с выполнением всех требований + дополнительные требования для хостинг-провайдеров.

Дополнительные требования для хостинг-провайдера совершенно понятны, очевидны, разумны, не требуют дополнительных комментариев и являются нормой для хостинг-провайдеров:

4.1 Ограничить доступ приложений каждого клиента только к своей среде данных держателей карт:
Ни одно приложение и ни один пользователь не может использовать имя пользователя, от которого работает разделяемый веб-сервер.
Все CGI-скрипты, используемые клиентом, должны быть созданы и запущены от имени идентификатора клиента.

4.2 Ограничить доступ клиента только к своей среде данных держателей карт:
Ни один из клиентов не должен обладает правами администратора/суперпользователя.
Каждый клиент имеет права чтения, записи и выполнения только своих утилит и данных. Для ограничения могут применяться права доступа к файловой системе, списки контроля доступа, средства chroot, jailshell и т.п.
У клиентов должны отсутствовать права записи в разделяемые системные библиотеки и исполняемые файлы.
Просмотр журналов протоколирования должен быть доступен только владельцу.
Для каждого клиента должны быть установлены лимиты на использование следующих системных ресурсов: дисковое пространство; канал; память; ЦП.

4.3 Протоколирование действий и событий должно быть включено для каждого клиента и соответствовать требованию стандарта PCI DSS.
Протоколирование должно быть настроено для всех типичных используемых на сервере приложений сторонних производителей.
Протоколирование должно быть включено по умолчанию.
Журналы должны быть доступны для просмотра администратору и клиенту, для которого выполняется протоколирование.
Журналы должны быть расположены в каталогах, доступных клиенту.

4.4. Наличие процессов, позволяющих провести расследование инцидентов по каждому клиенту.
У хостинг-провайдера должны быть внедрены политики, описывающие правила проведения расследования в случае компрометации данных клиентов.

*мечте конец

Сколько же стоит такое удовольствие?
Прайс листа, естественно, нет, но на просторах интернета от профильных специалистов была озвучена цифра - 1 млн. мертвых президентов.
Цифра озвучена представителями профильных интеграторов, помогающих заблудшим найти путь к соответствию стандарту, поэтому смело делим ее на 5.
В полученные 200К входит подготовка к прохождению аудита собственными силами, заказать аккредитованных VISA аудиторов (QSA), обеспечить им приличную вписку и питание по расписанию. Это capex первого года аудита, последующие ежегодные opex (ежегодное подтверждение) будут, вероятно, меньше. Естественно, разговор идет о PCI DSS Level 1 (с обработкой более 6 млн. транзакций в год),

Для хостинг-провайдера эта процедура обойдется примерно в 50k capex первого года и opex 20 ежегодно.

**бизнес плану конец

С учетом наличия в РБ 2-4 прошедших PCI DSS Level 1 банков, появления ручного хостинг-провайдера под их нужды выглядит совершенно маловероятным,