Analityczne wykorzystywanie plików cookies
Bezpieczeństwo danych finansowych PCI-DSS
PCI Security Standards Council opracowała standard Payment Card Industry Data Security Standard (PCI-DSS), który określa wymagania dotyczące ochrony danych kart płatniczych.
Czym jest PCI-DSS?
PCI Security Standards Council opracowała standard Payment Card Industry Data Security Standard (PCI-DSS), który określa wymagania dotyczące ochrony danych kart płatniczych.
Standard obejmuje organizacje, które:
- przetwarzają dane kart płatniczych,
- przechowują dane kart,
- transmitują dane kart,
- posiadają infrastrukturę mającą wpływ na bezpieczeństwo danych kartowych.
PCI-DSS składa się z 12 głównych wymagań podzielonych na 6 obszarów bezpieczeństwa, m.in.:
- bezpieczeństwo sieci,
- ochrona danych,
- zarządzanie podatnościami,
- kontrola dostępu,
- monitorowanie i testowanie,
- polityki bezpieczeństwa.
Zakres Fizyczny (Kolokacja) – „Physical Only”
Charakterystyka
Model przeznaczony dla klientów korzystających wyłącznie z infrastruktury fizycznej w centrum danych (kolokacja). Odpowiedzialność operatora dotyczy warstwy fizycznej, natomiast klient odpowiada za systemy operacyjne, aplikacje i dane.
Zakres odpowiedzialności
Operator centrum danych odpowiada za:
- Fizyczne bezpieczeństwo obiektu (kontrola dostępu, monitoring, ochrona)
- Zabezpieczenie szaf rack
- Systemy zasilania (UPS, agregaty)
- Klimatyzację i środowisko techniczne
- Segmentację fizyczną infrastruktury
Klient odpowiada za:
- Konfigurację serwerów
- Systemy operacyjne
- Aktualizacje i patchowanie
- Konfigurację firewalli
- Bezpieczeństwo aplikacji
- Szyfrowanie danych
- Zarządzanie użytkownikami
Zakres Chmurowy (KVM)
Charakterystyka
Model oparty o wirtualizację (KVM). Infrastruktura fizyczna i hypervisor pozostają po stronie dostawcy, klient zarządza systemem operacyjnym i aplikacjami.
Zakres odpowiedzialności
Dostawca odpowiada za:
- Infrastrukturę fizyczną
- Hypervisor (KVM)
- Segmentację sieci
- Bezpieczeństwo warstwy sieciowej
- Monitoring infrastruktury
Klient odpowiada za:
- Konfigurację VM
- System operacyjny
- Hardening systemu
- Zarządzanie kontami
- Aplikacje
- Dane
- Szyfrowanie
- Konfigurację zapór na poziomie VM
Zakres Hostingowy
Charakterystyka
Model, w którym dostawca zarządza zarówno infrastrukturą, jak i systemem operacyjnym (w zależności od modelu – hosting zarządzany).
Zakres odpowiedzialności
Dostawca odpowiada za:
- Infrastrukturę fizyczną
- Wirtualizację
- System operacyjny (jeśli hosting zarządzany)
- Aktualizacje bezpieczeństwa
- Monitoring systemowy
- Backupy (jeśli w ofercie)
Klient odpowiada za:
- Aplikacje
- Konfigurację aplikacji
- Zarządzanie użytkownikami aplikacji
- Dane biznesowe
- Konfigurację procesów zgodnych z PCI