Analytical use of cookies
Безпека фінансових даних PCI-DSS
Рада стандартів безпеки PCI (PCI Security Standards Council) розробила стандарт Payment Card Industry Data Security Standard (PCI-DSS), який визначає вимоги щодо захисту даних платіжних карток.
Що таке PCI-DSS?
Рада стандартів безпеки PCI (PCI Security Standards Council) розробила стандарт Payment Card Industry Data Security Standard (PCI-DSS), який визначає вимоги щодо захисту даних платіжних карток.
Стандарт поширюється на організації, які:
- обробляють дані платіжних карток,
- зберігають дані карток,
- передають дані карток,
- мають інфраструктуру, що впливає на безпеку карткових даних.
PCI-DSS складається з 12 основних вимог, поділених на 6 сфер безпеки, зокрема:
- безпека мережі,
- захист даних,
- управління вразливостями,
- контроль доступу,
- моніторинг і тестування,
- політики безпеки.
Фізичний рівень (Колокація) – Physical Only
Характеристика
Модель призначена для клієнтів, які користуються виключно фізичною інфраструктурою в дата-центрі (колокація).
Оператор відповідає за фізичний рівень, тоді як клієнт несе відповідальність за операційні системи, застосунки та дані.
Розподіл відповідальності
Оператор дата-центру відповідає за:
- Фізичну безпеку об’єкта (контроль доступу, відеоспостереження, охорона)
- Захист серверних шаф (rack)
- Системи живлення (UPS, генератори)
- Кліматичні та інженерні системи
- Фізичну сегментацію інфраструктури
Клієнт відповідає за:
- Конфігурацію серверів
- Операційні системи
- Оновлення та встановлення патчів
- Налаштування firewall
- Безпеку застосунків
- Шифрування даних
- Управління користувачами
Хмарний рівень (KVM)
Характеристика
Модель, заснована на віртуалізації (KVM).
Фізична інфраструктура та гіпервізор залишаються на стороні провайдера, тоді як клієнт керує операційною системою та застосунками.
Розподіл відповідальності
Провайдер відповідає за:
Фізичну інфраструктуру
Гіпервізор (KVM)
Сегментацію мережі
Безпеку мережевого рівня
Моніторинг інфраструктури
Клієнт відповідає за:
Конфігурацію віртуальних машин (VM)
Операційну систему
Захист та hardening системи
Управління обліковими записами
Застосунки
Дані
Шифрування
Налаштування міжмережевих екранів на рівні VM
Хостинговий рівень
Характеристика
Модель, у якій провайдер керує як інфраструктурою, так і операційною системою
(залежно від моделі — керований хостинг / managed hosting).
Розподіл відповідальності
Провайдер відповідає за:
Фізичну інфраструктуру
Віртуалізацію
Операційну систему (у разі керованого хостингу)
Оновлення безпеки
Системний моніторинг
Резервне копіювання (якщо передбачено послугою)
Клієнт відповідає за:
Застосунки
Конфігурацію застосунків
Управління користувачами застосунків
Бізнес-дані
Налаштування процесів відповідно до вимог PCI