Охрана, камеры и 415 процедур. Дата-центр, который обрабатывает наши платежи

К нам едет… аудитор

В Минске на улице Захарова находится один из белорусских дата-центров. Если бы сисадмины решили построить храм для своей профессии, он бы наверняка выглядел примерно как этот центр. Куча комнат, заставленных стойками с серваками, системы охлаждения от пола до потолка, гул кулеров в пустых коридорах. Мечта инженера! 

Там же на Захарова расположена часть инфраструктуры провайдера hoster.by. С недавних пор она аттестована по стандарту безопасности PCI DSS 3.2.1.

Это значит, что через инфраструктуру провайдера могут проводиться интернет-платежи.

Проще говоря, именно в подобные системы на время попадают наши деньги каждый раз, когда мы платим за товар или услугу в интернете. 

Попасть в святая святых сложно: где речь идёт о деньгах и/или персональных данных, там и особое внимание к безопасности. Охрана, круглосуточное видеонаблюдение — всё это входит в список требований к стандарту PCI DSS. 

Журналист dev.by оставляет свои паспортные данные охраннику на входе. Его провожают до лифта, потом длинный коридор, потом ещё один лифт, снова коридор — и вот он у двери в дата-центр. Заметно, что «безопасники» hoster.by насторожены — в защищённую зону ещё не ступала нога чужака. Само собой, снимать фото или видео там нельзя.

Просторное помещение, заполненное стойками с серверным оборудованием. Каждая стойка закрывается на ключ — ключи есть только у инженеров, которые регулярно следят за железом. Около стен стоят огромные красные баллоны — часть системы пожаротушения. Из-за гула кулеров и системы охлаждения сложно расслышать собственный голос. Сисадмин открывает дверцу одной из стоек. Среди серваков с портами и пучками проводов вдруг обнаруживаются несколько платёжных терминалов. Сразу становится понятно: тут крутятся финансы. 

Защита дата-центра не ограничивается камерами и охраной —  особого внимания требует информационная безопасность. Благо, hoster.by уже 10 лет предоставляет услугу защищённого хостинга — в том числе госорганизациям. 

Цена ошибки в области безопасности огромная. Ведь платёжные системы безбожно штрафуют провайдеров за утечки данных держателей карт. Штрафы начинаются от 20 тыс. евро и могут вырасти до сотен тысяч. Получается, что инвестировать в безопасность дешевле, чем платить штрафы.

Я попытался выведать, какие антивирусы ставятся на такие могучие системы. Ответ службы безопасности «хостера» был суров: «Вендоров не выдаём, и вообще — не задавайте провокационные вопросы». Ох, уж эти журналисты!      

Вообще же список требований к инфраструктуре, которая хочет соответствовать стандарту PCI DSS, огромный — целых 415 пунктов, собранных в 12 тематических разделах. Они охватывают все аспекты безопасности: от правильного построения сети до политики инфобезопасности для персонала. В hoster.by рассказывают, что их инфраструктура сегодня соотвествует примерно 70 процентам из этих требований. Почему не всем 100 процентам? Дело в том, что оставшиеся требования рассчитаны на клиентов, которым нужны услуги вроде разработки ПО — их «хостер» пока не предоставляет.

Проверяет провайдера на соответствие всем требованиям стандарта специальный европейский аудитор. Полномочия на проверку ему выдаёт совет PCI DSS (в него входят крупнейшие мировые платёжные системы). Заказать такой аудит — дело недешёвое —  стоит 12 тыс. евро (кстати, на постройку всей инфраструктуры hoster.by раскошелился на несколько сотен тысяч долларов). 

Аудит не обошёлся без приключений. К нему готовились целый год, но за три недели до приезда «ревизора» от мировых платёжных систем пришлось перестроить большую часть инфраструктуры — в hoster.by разошлись с аудиторами в интерпретации некоторый требований к стандарту. Но всё закончилось хорошо — аттестат провайдер получил.  

«Слушайте, а вы вообще аттестованы?»       

Зачем вообще провайдеру понадобился этот самый PCI DSS?

Кроме того, мы всегда считали важным предоставлять полный спектр услуг: клиент приходит на обычный виртуальный хостинг, его бизнес расширяется, растут потребности — и мы переводим его на более продвинутый уровень. И многие годы клиенты спрашивали нас: «Слушайте, а вы вообще аттестованы по PCI DSS?». Долгое время мы тянули с аттестацией. Дело это недешёвое, требует наличия высококлассных специалистов и постройки программно-аппаратной инфраструктуры.

Ещё до недавнего времени в Беларуси существовали дата-центры, которые подходили только под стандарт физической безопасности PCI DSS (охрана, видеонаблюдение и прочее). Операторы платёжных систем (посредники, через сервисы которых на сайтах и в приложениях проводятся платежи по банковским картам) могли размещать собственные серверы в таких защищённых дата-центрах, но при этом должны были сами следить за безопасностью и работоспособностью своих информационных систем, а также за жизненным циклом оборудования, ПО, «лицухами» и пр. Для них это была настоящая головная боль: надо было проходить проверки, самим устанавливать и обновлять ПО, менять оборудование.     

Аттестация, которую прошёл hoster.by, позволяет хостинг-провайдеру брать на себя всю «черновую»  работу по настройке инфраструктуры для проведения электронных платежей — по модели IaaS (инфраструктура-как-сервис). 

Кроме того большим компаниям, которые принимают от клиентов огромное количество интернет-платежей, может быть выгодно работать напрямую с хостинг-провайдерам, не обращаясь к посредникам в виде операторов платёжных систем. В таком случае провайдер должен соответствовать требованиям PCI DSS. Правда, признаются в hoster.by, таких компаний в Беларуси немного: самые крупные интернет-магазины, банки, транспортные компании.   

PCI DSS — это ещё и имиджевая история, показатель определённого уровня качества. Если поставщику интернет-услуг можно доверить проведение тысяч операций с реальными деньгами людей, значит с его безопасностью всё в порядке.    

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.