PCI DSS Compliant Hosting
Підключивши цю послугу, ви отримаєте сертифікований відповідно до вимог PCI DSS віртуальний дата-центр за моделлю IaaS Basic, а також додаткове адміністрування операційних систем, мережевих пристроїв і систем захисту веб-трафіку (Web-Application Firewall). Це дозволяє отримати максимально повну відповідність стандарту PCI DSS.
«ІТ-ГРАД» виконує 10 з 12 основних розділів стандарту PCI DSS за клієнта, тим самим клієнтові залишається відповідати стандарту тільки на рівні платіжного додатка і шифрування бази даних.
матриця відповідальності
Ми узгодимо з вами набір супутніх послуг, що забезпечують можливість виконання вимог стандарту PCI DSS в рамках матриці відповідальності. Матриця відповідальності такого рівня дозволяє клієнтові не відволікатися на питання, пов'язані з інфраструктурою, а займатися тільки платіжним додатком. У разі проходження клієнтом сертифікаційного QSA-аудиту або проведення внутрішнього аудиту матриця відповідальності дозволяє аудитору не питати у клієнта про пунктах, відповідальність за які несе «ІТ-ГРАД».
В рамках послуги PCI DSS Advanced надається наступна функціональність і заходи щодо захисту інфраструктури своїх клієнтів відповідно до вимог стандарту PCI DSS:
- Обмеження доступу клієнта і додатків клієнта тільки до своєї інфраструктури.
- Забезпечення фізичного захисту інфраструктури клієнта:
- використання системи відеоспостереження на стороні ЦОД, де розміщена інфраструктура клієнта;
- використання механізмів реалізації дозвільної системи допуску представників клієнта і обслуговуючого персоналу Провайдера до інформаційних ресурсів, інфраструктурі і пов'язаним з її використанням робіт і документів.
- Межсетевое екранування з метою управління доступом, фільтрації мережевих пакетів і трансляції мережевих адрес для забезпечення контролю мережевого взаємодії між мережами клієнта (DMZ / CDE).
- Міжмережевий екран для захисту веб-додатків (Web-Application Firewall).
- Захист від шкідливого коду і програмного забезпечення.
- VPN-доступ із застосуванням двофакторної аутентифікації.
- Централізоване управління протоколированием подій з використанням SIEM-системи.
- Проведення внутрішнього і зовнішнього сканування на наявність вразливостей.
- Створення резервних копій дисків віртуальних машин.
- Тестування на проникнення (Penetration test).
Для повноцінної реалізації послуги PCI DSS Advanced «ІТ-ГРАД» забезпечує адміністрування інфраструктури відповідно до вимог стандарту PCI DSS.
Що включає адміністрування серверів (DB / Web / App / Log)
Служба захисту клієнта:
- Створення, видалення та зміна параметрів облікових записів відповідно до вимог пунктів 7.1, 7.2 стандарту PCI DSS.
- Виконання налаштувань операційної системи щодо облікових записів відповідно до вимог пунктів 8.1-8.1.4.
- Виконання налаштувань пральних політик щодо облікових записів відповідно до вимог пунктів 2.1, 8.1.6-8.2.6.
- Встановлення та використання політик розмежування прав доступу відповідно до вимог розділу 7, а також вимог А.1.1, А.1.2.
Налаштування операційних систем відповідно до стандартів безпечного конфігурації в рамках PCI DSS:
- Налаштування локальних міжмережевих екранів відповідно до п. 1.2, 1.3, 2.2.
- Налаштування аудиту дій користувача на рівні операційної системи з використанням вбудованих засобів аудиту та / або c застосуванням локальної системи виявлення вторгнень в поєднанні з централізованою системою моніторингу та аналізу подій інформаційної безпеки.
- Налаштування аудиту доступу до ДДК (аналогічно аудиту дій користувачів).
- Налаштування аудиту доступу до системних журналів (лог-файлів).
- Налаштування синхронізації часу з безпечним (довірчим) сервером часу (використовується централізований сервер часу в інфраструктурі Провайдера).
- Налаштування пересилання поштових повідомлень на центральний поштовий сервер (використовується агент передачі пошти в інфраструктурі Провайдера).
- Налаштування системних сервісів відповідно до п. 1.1.6.
- Регулярний контроль цілісності виконуваних файлів ОС відповідно до вимог пункту 11.5.
- Регулярне оновлення операційних систем відповідно до вимог пункту 6.2.
- Антивірусний захист та регулярне сканування серверів відповідно до вимог розділу 5.
Протоколювання подій роботи ОС:
- Виконання налаштувань відповідно до стандартів безпечного конфігурації операційних систем за вимогами пунктів 10.1, 10.2, 10.3, 10.5, 10.7, а також пункту А.1.3 стандарту PCI DSS.
- Виконання аналізу журналів протоколювання подій відповідно до вимог пунктів 10.6-10.6.3.
Регулярне внутрішнє і зовнішнє сканування на предмет наявності вразливостей операційних систем і бізнес-додатків клієнта відповідно до вимог пункту 11.2 стандарту PCI DSS. В рамках послуги здійснюється управління уразливими.
Приклад схеми мережі клієнта Managed Services в захищеній PCI DSS інфраструктурі ІТ-ГРАД