PCI DSS + Dedicated - обсуждение, поиск

Здравствуйте,

У нас на нашей сети проходили сертификацию PCI-DSS на снятом сервере, насколько я знаю PCI-DSS предъявляет требования к настройкам ОС, софта и других легко изменяемых параметров, как SSL и протоколы шифрования.

Требования к ДЦ минимальны (если мне не изменяет память, круглосуточный мониторинг безопасности, охранники, камеры и сохранность записей, а также электронный мониторинг операторов и других лиц (смарт карты, пальчики и т.п.)) и мы под все подпадаем.

Не могли бы Вы описать необходимую платформу?

Есть несколько подходящих вариантов, в зависимости от бюджета это могут быть платформы на: e3-1270v6 (но это прям самый минимум, лучше всё-таки больше), xeon W, xeon silver (4114 хорош), xeon e5 v4 (2630)

Также интересны свежие Xeon D (во втором поколении) с 8+ ядрами

По памяти от 64гб (но лучше 128)

Обязательно 2 NVMe на 450gb+ common usage (хотя, если честно, не думаю что мы и read intensive быстро убьём записью)

Приватная сеть 1G или 10G, публичная - 1G @30tbps или лучше.

/29 ipv4 на каждый сервер

Серверов нужна пара (с размещением в разных стойках минимум, а лучше - модулях).

Конкретно по платформам - интересно попасть в хорошее соотношение цены и производительности, поэтому нужно смотреть что у вас уже есть и чтобы вы не покупали специфичного железа.

Также хотелось бы обсудить политики реагирования на ddos до подписания каких-либо документов.

Готовы коммититься на год минимум, но оплата помесячная.

Здравствуйте. А по локации будут пожелания ?

Bananzz, Rackspace сертифицирован по PCIDSS, мы хостимся там и успешно проходили аудит на Level 1. Но датацентр это малая толика необходимого, ну вы это понимаете. Про впс/облака лучше забыть, вам нужны выделенные серверы.

Для такой сертификации, если не изменяет память, требуется строить DMZ сеть, а там в требованиях сети - аппаратный файерволл, который должен быть, даже, если один сервер. Мы такое строили клиенту в США, но он визы делает народу по всему миру, а у Вас что за бизнес, котоорый требует сертификации? Или требование от Google?

Здесь по убыванию желательности:

Нидерланды, Лондон и пригороды, Германия, Франция

Больше важны связность и стабильность ДЦ: таргет сервиса - на весь мир

Датацентр - это точка отсчета. Либо свои железки брать и в Европе где-то ставить (смотрели лизинг с Serverius, как вариант, но получаем необходимость заниматься железом более плотно, хочется этого избежать), либо же получится найти сервера в аренду.

Облака могут быть, но только как private cloud, судя по всему. Однако мир меняется - https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf?agreement=true&time=1468895493089

Нужно перечитывать. +всегда есть Амазон

Идеальный вариант для нас - взять группу дедиков и собрать облако по нашим требованиям на нашем стэке.

У нас тоже были соседи, которые занимались визами. Это жесть :)

Сервис - c2c площадка. Хотим обособить платёжную инфраструктуру и поднять конверсии (цепочки экваеров) и понизить себестоимость платежа (выбор более дешевых но плохопроходящих экваеров первыми звеньями цепочки, например).

Для этого нужно хранить карточные данные и, как следствие, честно сертифицироваться.

По конкретным требованиям - нам аудитор расскажет как лучше сделать. Но хардварный фаервол тоже сдаётся в аренду обычно.

Аппаратный файрволл не нужен, достаточно обычный слабенький jump host с VPN. Лишнее звенья в scope аудита лучше отбрасывать :)

У нас это вообще стандартная практика для всех наших web-сервисов - ноды виртуализации через виртуализированные vpn-сервера собираются в "геокластеры" (по-сути гроздь виртуалок с прозрачной адресацией), наружу отдают http/https или по нешифрованному каналу или даже по vpn на edge-сервера (в нашей терминологии - балансировщики), а те уже или напрямую или через cloudflare общаются с миром.

Всё это с политиками доступов по белым спискам. Это даже не для PCI DSS, а просто для собственного спокойствия)