Авторская колонка
Павел Горюнов,
технический директор сети дата-центров КРОК
Один наш заказчик как-то обратил внимание на то, что система доступа в ЦОД слишком «жесткая»: он не мог просто так пройти к арендованным серверам, для этого требовалось подтверждение личности и сопровождение инженеров службы эксплуатации. Подобные правила — вовсе не наше ноу-хау. Им следуют провайдеры ЦОД, которые сертифицированы на соответствие PCI DSS — стандарту безопасности в индустрии платежных карт. Казалось бы, какая может быть связь между обеспечением защиты банковских транзакций и услугами коммерческих дата-центров? На самом деле — прямая.
Что такое PCI DSS и зачем он нужен?
Когда-то крупнейшие в мире операторы платежей, включая Visa, MasterСard, объединились, чтобы разработать стандарт для всех, кто обрабатывает транзакции по банковским картам. Для подготовки единых отраслевых требований компании создали совет Payment Card Industry Security Standards Council. Первая редакция норм вышла еще в 2004 году.
Несмотря на кажущуюся узкую отраслевую специфику, действие стандарта распространяется не только на финансовые структуры. Под него также попадает деятельность поставщиков облачных услуг, ведь главная цель документа — соблюдение регламентов безопасности и защита конечных пользователей. Всего в стандарте 12 разделов, где прописаны требования по всем этапам — от контроля доступа в ЦОД, куда нельзя так просто попасть без пропуска, до требований непосредственно к обработке операций и хранению их истории.
Если компания работает с данными карт систем Visa и MasterСard (например, развивает интернет-магазин с возможностью оплаты на сайте), выбирая облако, она должна проверить, соответствует ли ЦОД провайдера всем требованиям PCI DSS. В обратном случае работать с ним нельзя.
Как получить сертификат?
Сертификат выдается по итогам аудита, срок действия документа составляет всего один год. По истечении необходимо снова привлекать к проверке аккредитованного аудитора.
Длительность прохождения этой процедуры сильно зависит от того, как долго облачный провайдер сертифицируется на соответствие требованиям PCI DSS. Например, у нас аудит в среднем у нас занимает 1-2 недели, потому что подготовка к аудиту проводится на регулярной основе, и мы соблюдаем все требования. При этом на первую нашу сертификацию мы потратили месяцы, загрузив работой команду.
Стандарт PCI DSS охватывает технические и организационные вопросы не только Облака и ЦОД, но и компании в целом. Поэтому в команду входили абсолютно разные специалисты: технические эксперты по информационной безопасности, непосредственно специалисты Облака и ЦОД, представители департамента внутренней автоматизации и т.д. Нам было сложно не только потому, что подобное мероприятие проводилось впервые. Трудностей добавляло то, что на базе ЦОД у нас работает облако, причем облако собственной разработки с использованием Open Source продуктов.
Так как наша компания одновременно проектирует, разрабатывает и эксплуатирует сеть ЦОД и облака, то аудиту подвергаются три этих направления. Консультанты PCI DSS проводят проблемные интервью, проверяют документы, смотрят, как работают системы и процессы. Один из важнейших пунктов при сертификации — это пен-тесты (тесты на проникновение). Специально обученные белые хакеры пытаются взломать виртуальную среду, имитируя действия злоумышленников. Такие пен-тесты мы проводим в своем облаке регулярно в соответствии с правилами PCI DSS.
Как уже было сказано, сегодня сама процедура прохождения проверок на PCI DSS занимает всего 5-7 дней: перед ними мы проверяем всю необходимую документацию, которую, как правило, нужно лишь немного актуализировать. Однако в течение года ведем работу над выявлением неоптимально организованных процессов, внешних факторов и новых опасностей, таких как Meltdown и Spectre (уязвимости в микропроцессорах), которые могут привести к проблемам в системе безопасности.
Должны ли заказчики соответствовать стандарту?
Хотелось бы ответить, что нет и снять гору с чьих-то плеч, но на самом деле это не так. Одни и те же требования применяются как к площадке хостинга, так и к виртуальной инфраструктуре клиента. Например, в стандарте есть раздел, который требует применять шифрование при передаче платежных данных через сети общего пользования, и сделать это можно только на стороне клиента. А требования к межсетевому экранированию на обеих сторонах имеют разную реализацию и ответственность.
Хотя сам стандарт ясный и логичный, трудности случаются, когда к нему нужно адаптировать уже существующую инфраструктуру компании: не все узкие места видны в первом приближении. Чтобы в итоге получить адекватный результат, между провайдером и клиентом нужно четко разделить ответственность и обозначить те зоны, где каждый из них прикладывает усилия со своей стороны.
Хорошая новость в том, что вместе с провайдером проходить этот путь в чем-то даже проще. Если провайдер сертифицировал свой ЦОД согласно PCI DSS, то это значит, что все необходимые технические и организационные меры он уже предпринял. На практике это ускоряет процесс прохождения клиентами аудита безопасности со своей стороны, а еще упрощает его, так как часть документации уже готова.
Сертификация полезна обоюдно. Для провайдера она показатель уровня зрелости и дополнительное конкурентное преимущество. Для клиента — возможность получить доступ к экспертизе поставщика услуги. Не всем очевиден этот бонус, однако облака и данные — это сфера, которая с каждым годом все серьезнее и серьезнее регулируется. Чтобы разобраться в рекомендациях и требованиях закона самостоятельно, нужно обладать экспертизой и иметь в штате специалистов, разбирающихся в теме.
Всё потому, что тема облаков и ЦОД тесно связана с безопасностью. Речь идет не только о персональных данных (а к ним относится даже номер телефона, который собирает служба рассылки или форма обратной связи на сайте), но и более серьезных категориях. Например, о данных платежных систем.