Использование услуг сертифицированных поставщиков (Часть 3)

Блог компании ИТ-ГРАД
Для облегчения задачи регулярной сертификации большинство сертифицированных компаний пользуются услугами поставщиков, берущих на себя ответственность за выполнение части требований стандарта.

Использование услуг сертифицированных поставщиков

Это объясняется тем, что передача внешней сертифицированной компании части ответственности за реализацию требований PCI DSS в значительной мере упрощает жизнь.

Использование сертифицированных поставщиков, обладающих необходимой экспертизой и гарантированным ресурсом, существенно упрощает жизнь. Чем больше ресурсоемких задач можно отдать надежному партнеру, эксперту в своей области, тем лучше. При этом ключевой момент — это доверие к компании, ее деловая репутация. При достаточном уровне доверия мы готовы пользоваться сертифицированным облачным сервисом.

Тем не менее мы стараемся ограничить доступ внешних вендоров до разумной глубины, где мы чувствуем себя в безопасности. Сейчас многие боятся потерять контроль над своей приватностью, но если услуги более высокого уровня (сертифицированный IaaS, управляемые сервисы) станут нормальной рыночной опцией, которой все пользуются (как сейчас VPS/VDS), то у людей не будет рассуждений на тему «сами мы это будем делать или не сами». Они привыкнут к тому, что это надежный, безопасный, разумный способ оптимизации своих ресурсов и возможность сосредоточиться на собственном продукте.


Дмитрий Теленов, технический директор InPlat

Между тем часть компаний закрывают все вопросы соответствия своими силами.

Мы полностью обходимся своими силами и самостоятельно закрываем все требования стандарта. Уровень технической компетенции наших сотрудников позволяет нам поддерживать соответствие PCI DSS без делегирования части работ внешним поставщикам услуг.

Роман Коротков, ИТ-директор Online Payments

Сертифицированные PCI DSS поставщики могут брать на себя требования на разных уровнях реализации. Самый простой и распространенный на сегодняшний день в России — это уровень физического размещения (colocation — аренда стойки или отдельных юнитов в дата-центре, имеющем сертификат PCI DSS).

Сертификация PCI DSS необходима для нас как для IPS-провайдера (internet payment service). Требования PCI DSS к физической безопасности мы закрываем с помощью сертифицированного дата-центра.

Кузьма Михайлов, генеральный директор ООО «Международные процессинговые системы»

Вместе с тем выполнение требований на таком низком уровне, в случае если эти вопросы были проработаны компанией ранее самостоятельно, недостаточно сильно облегчает задачу сертификации.

Марина Никулина
Около года назад с целью эффективно организовать непрерывность бизнеса мы воспользовались услугами специализированного поставщика ИТ-аутсорсинга, который предоставил две независимые отказоустойчивые площадки. При выборе аутсорсинговой компании одним из основных критериев было наличие сертификата по PCI DSS. Целью данного проекта было разместить оборудование на двух отказоустойчивых площадках, в то время как функции по его администрированию оставались на нашей стороне.

В нашем случае это не сильно облегчило задачу соответствия требованиям PCI DSS, поскольку мы продолжительное время справлялись своими силами, используя серверные комнаты, находящиеся в собственности нашей компании, а физическая безопасность у нас всегда была на высоком уровне и остается на таковой и по сей день.

Для тех, кто впервые планирует проходить сертификацию по PCI DSS, — это облегчит задачу в части соответствия требованиям физической безопасности, т. к. данная обязанность будет возложена на сертифицированную аутсорсинговую компанию.


Марина Никулина, директор по внутреннему контролю и аудиту АО «Компания объединенных кредитных карточек» (UCS).

Следующим после физического размещения уровнем является аренда виртуальной серверной инфраструктуры (IaaS), сертифицированной по PCI DSS.

Если смотреть на возможность передать часть требований PCI DSS в зону ответственности внешнего поставщика, то относительно легко передать требования на уровне хостинга. Однако в России есть недостаток услуг по аренде виртуальных серверов, сертифицированных по PCI DSS. На сегодняшний день сертифицированный IaaS — это одна из востребованных услуг в России, на которую есть спрос.

Кроме того, можно отдать часть функций по разработке специализированной компании (которая сертифицирует свое ПО по стандарту PA DSS), например Compass Plus, OpenWay и др. Но, учитывая специфику нашего бизнеса, а также наши требования к функциональности и скорости внедрения изменений, мы не смогли найти такого поставщика, поэтому все разрабатываем сами.

Кирилл Радченко, генеральный директор Best2Pay

Тогда как на западе сертифицированный по PCI DSS IaaS представлен большим количеством компаний, в России наблюдается острый дефицит поставщиков таких услуг.

Константин Ян
Использование услуг сертифицированного поставщика весьма существенно облегчает задачу прохождения аудита. Моя позиция такова: все, что можно отдать на аутсорс, нужно отдавать.

Мы пользуемся мощностями двух дата-центров: европейского и отечественного. Они закрывают нам вопросы по физической защите данных, а также часть прочих вопросов. Если говорить конкретно, то европейский виртуальный облачный хостинг закрывает требования по физическому размещению, виртуальной инфраструктуре и управляемым сервисам (антивирусная защита, журналы, управление уязвимостями, администрирование). В отечественном дата-центре сертифицировано только физическое размещение.

В стандарте PCI DSS 12 разделов. Идеальной я вижу ситуацию, когда поставщик закрывает 11 из них — все, кроме разработки ПО, на основании которого мы предоставляем услуги нашим клиентам.


Константин Ян, co-founder, CTO CloudPayments

Более высоким уровнем аутсорсинга выступают так называемые управляемые сервисы, или услуги MSP (managed service provider).

Антон Куранда
Часть задач по соблюдению требований PCI DSS мы передаем сертифицированному сервис-провайдеру, который реализует некоторые сервисы: файрволы для веб-приложений (web application firewall), защиту на внешнем периметре, внешнее сканирование. Требования стандарта, связанные с этими задачами мы закрываем силами внешнего поставщика MSP (managed service provider). Но все внутренние работы мы проводим сами.

Антон Куранда, технический директор RBK money

На рисунке ниже представлено распределение в области использования услуг сертифицированных PCI DSS сервис-провайдеров по уровням реализации требований стандарта.

Использование услуг сертифицированных поставщиков

Для платежного шлюза сертификация по стандарту безопасности PCI DSS является обязательным требованием, без которого ведение бизнеса невозможно. В нашем случае серверы размещаются в дата-центре, сертифицированном по PCI DSS. Использование услуг сертифицированного поставщика, с одной стороны, облегчает задачу аудита, а с другой — позволяет перенести часть активностей, связанных с обеспечением физической безопасности, на партнера. С точки зрения прохождения аудита разделы, которые отданы на аутсорсинг, аудитором не проверяются, а формально проходятся посредством предоставления сертификата сервис-провайдера.

С точки зрения интернет-магазинов мне видится наиболее интересным сертифицированное облачное решение в моделях PaaS и MSP, когда вся инфраструктура уже полностью готова, а задачей магазина остается делать обновления приложения, с помощью которого компания предлагает основную услугу клиенту, не отвлекаясь на сторонние вопросы, связанные с сетевыми проблемами, хранением данных и так далее. Иными словами, использование облачных технологий позволяет акцентировать внимание компании на собственном бизнесе, не отвлекаясь на административные работы и снижая часть технических рисков.

В случае с платежным шлюзом предельным уровнем аутсорсинга технологий является использование аппаратной составляющей (colocation/IaaS). В связи с тем, что в наше время необходимо иметь достаточно гибкую систему, сохраняя при этом определенный уровень контроля, использование большего уровня аутсорсинга (PaaS/SaaS) в случае платежного шлюза может быть только под какие-то срочные задачи. Например, при возникновении неожиданной высокой нагрузки на время.


Антон Краснопевцев, директор по продуктам Payler

Перспективные услуги по выполнению требований PCI DSS

Как мы выяснили ранее, сегодня 8 из 10 участников рассматриваемого нами рынка, пользующихся услугами внешнего сертифицированного поставщика, ограничиваются передачей в зону ответственности сторонней организации только требований к физической безопасности (пользуются услугой colocation с PCI DSS). Однако если посмотреть на структуру услуг по выполнению требований PCI DSS, которые участники рынка считают востребованными, то уже больше половины респондентов называют наиболее перспективными услуги PCI DSS compliant IaaS (32 %) и управляемые сервисы MSP (21 %).

Перспективные услуги по выполнению требований PCI DSS

Основной фокус сейчас направлен на физическое размещение (colocation) и аренду виртуальной серверной инфраструктуры (IaaS).

Иван Сергеев
Мы проходили первый аудит PCI DSS еще в 2010 году и закрывали все требования стандарта своими силами. На данный момент дата-центр, в котором размещается наше оборудование, также прошел сертификацию. Это позволяет полностью закрыть вопрос физической защиты информационной инфраструктуры на уровне дата-центра.

Физическое размещение и виртуальная серверная инфраструктура — это наиболее перспективные сегодня уровни аутсорсинга выполнения требований стандарта PCI DSS.


Иван Сергеев, технический директор ЗАО «МОБИ.Деньги»


При этом отмечается тенденция к постепенному переходу от физического размещения к более высоким уровням передачи ответственности — к виртуальной инфраструктуре.

Если мы передаем сертифицированному поставщику ответственность за реализацию некоторой части требований стандарта безопасности, то это очевидно облегчает нам задачу прохождения сертификации. Но, во-первых, такой трансфер ответственности не всегда возможен, а во-вторых, в России просто нет более опытных, чем мы сами, поставщиков!

Между тем возможность передать часть работы на аутсорсинг в целях оптимизации довольно интересна. Сейчас на отечественном рынке распространены варианты сертифицированного физического размещения (colocation). Следующий закономерный этап развития таких услуг — сертифицированная по стандарту PCI DSS виртуальная серверная инфраструктура (IaaS).

Виталий Фанов, директор по информационной безопасности Сhronopay

Ежегодно стандарт PCI DSS меняется, дополняется чем-то по требованиям международных платежных систем. Чтобы подтверждать свое соответствие, мы применяем эти изменения на практике, следовательно, и безопасность в этой сфере улучшается. В нашей компании есть целый отдел, который занимается этим направлением.

На сегодняшний день мы пользуемся услугами сертифицированного дата-центра, который закрывает требования PCI DSS по физической безопасности. Сертифицированные облачные сервисы как продолжение развития аутсорсинга в этом направлении, возможно, будут представлять определенный интерес.


Игорь Звоник, генеральный директор ООО «Нэт Пей»

Еще более высокие уровни ответственности за выполнение требований в рамках услуг, обобщенно называемых управляемыми сервисами, могут быть поддержаны в том числе и сертифицированными по PCI DSS SaaS-решениями.

Александр Борисов
Ежедневная работа — залог успешного прохождения PCI DSS, а для того, чтобы она была качественной и эффективной, необходима автоматизированная система по задачам, процессам, которая связывала бы аудитора QSA (консультанта) c самой компанией и напоминала бы о важных задачах по выполнению требований стандарта, агрегировала новости в данной предметной области (уязвимости, угрозы), формировала бы отчеты в требуемых форматах и так далее. Подобных систем или нет, или они узкофункциональны. Эта услуга может предоставляться в виде SaaS.

Виртуализация с выполнением требований стандарта PCI DSS (сертифицированный IaaS) — это также услуга, которая имеет неплохие перспективы в будущем. Уже сейчас она востребована, и в развивающихся странах с учетом роста эмиссии и использования пластиковых карт при оплате товаров и услуг будет все более интересна для участников данного рынка, для поставщиков услуг.


Александр Борисов, технический директор системы электронных платежей PayOnline

Общий вектор развития в направлении передачи ответственности, как отмечает большинство респондентов, — переход в облака.

Мы, как процессинговый центр, сертифицируем нашу систему как Payment service provider. И основной сложностью является соблюдение одновременно требования PCI DSS и российского законодательства. Очень много противоречий — например, после сертификации фаервола по стандартам ФСТЭК не допускается его обновление, а по требованию PCI DSS — уязвимость должна быть устранена в течение 3 месяцев.

С точки зрения передачи части ответственности сертифицированному поставщику все сервисы достаточно перспективны. И сейчас тенденция такова, что все стараются уходить в облако, т. к. это снижает издержки, и платежные сервисы не исключение.


Зураб Мальсургенов, ИТ-директор PayU

Что же тормозит внедрение облачных решений в области реализации требований PCI DSS? Как выяснилось — незрелость отечественного рынка, отсутствие сертифицированных по PCI DSS облачных поставщиков (облачные провайдеры, которые заявляют о том, что сертифицированы по PCI DSS, на деле могут закрывать только требования к физической безопасности на уровне colocation).

Станислав Лакин
Передача ответственности за реализацию части требований по безопасности сертифицированному поставщику очень сильно облегчает жизнь. По физическому хранению данных в стандарте достаточно большой список требований. Мы арендовали серверное оборудование в дата-центре, сертифицированном по PCI DSS, и подписали матрицу ответственности, где все эти пункты поставщик берет на себя. Это очень удобно: требования к физической безопасности мы для себя вычеркнули, потому что это теперь не наша зона ответственности.

В перспективе же наиболее популярными будут облачные сервисы, поскольку сегодня в рамках соответствия PCI DSS в России можно получить в основном только colocation. Это сильно сковывает. Мы берем серверы в лизинг, хотя могли бы заключить договор на облачную инфраструктуру и пользоваться тем количеством ресурсов, которые нам действительно необходимы. Я точно знаю, что некоторые компании не соблюдают требования PCI DSS, пользуясь несертифицированными облаками. Когда это перейдет в официальное поле и можно будет использовать облако, сертифицированное по PCI DSS, думаю, это будет наиболее востребованной услугой.


Станислав Лакин, ИТ-директор Paymo

Облака и управляемые сервисы

Спрос и потребности бизнеса рождают предложение. И в прошлом году несколько наиболее крупных облачных провайдеров сертифицировали свои платформы по стандарту PCI DSS, что дало им возможность брать на себя ответственность за выполнение требований PCI DSS на уровне, включающем виртуальную инфраструктуру (IaaS).

Если говорить о нашем процессинге (IPSP), то требования стандарта PCI DSS мы закрываем практически полностью, кроме хостинга наших серверов, который подходит под требования лучше, чем если это делать собственными силами. Свою серверную инфраструктуру мы размещаем в сертифицированном дата-центре.

Облачные сервисы хостинга в модели IaaS (аренда виртуальной серверной инфраструктуры) — это наиболее перспективный уровень PCI DSS сертифицированных сервисов, поскольку сейчас появилась тенденция к снижению стоимости данной услуги и количество поставщиков в России возрастает.

Иван Курочкин, технический директор AcquiroPay

Аналогично, на базе облачных решений, в России появились и сертифицированные MSP-решения.

На сегодняшний день мы пользуемся услугой colocation в Москве, требования по ограничению физического доступа к системам реализуются дата-центром, сертифицированным по стандарту PCI DSS в соответствующей области.

Мы следим за тем, что может предложить рынок и насколько целесообразно применение новых услуг у нас. Перспективным видится вынесение в зону ответственности поставщиков услуг уровня управляемых сервисов (MSP): виртуальная инфраструктура, межсетевой экран, Web Application Firewall, IPS/IDS, сервер журналирования событий.


Владимир Канин, основатель и генеральный директор сервиса мобильного эквайринга Pay-Me

Вместе с тем некоторые компании с опаской смотрят на предоставление доступа к своей инфраструктуре компаниям-аутсорсерам, несмотря на строгость аудиторов при сертификации таких поставщиков. Тем не менее colocation и IaaS — это те уровни, использование которых не вызывает опасений у большинства игроков рынка.

Управляемые сервисы (услуги администрирования, журналирования и т. п.), с одной стороны, позволят заказчику существенно снизить свои затраты на обеспечение этих функций, а с другой — это может идти в разрез с его пониманием безопасности. Не все компании готовы предоставить доступ к своей внутренней инфраструктуре и данным.

Между тем colocation и виртуальная инфраструктура (IaaS) востребованны всегда. Это позволяет тратить меньше ресурсов на соблюдение закрываемых требований.


Александр Львов, руководитель ИТ-департамента «ДеньгиOnline»

Также заметна тенденция: чем крупнее организация, тем больше она задумывается об аутсорсинге и использовании облачных сервисов, в том числе и в сфере передачи ответственности за выполнение требований стандарта PCI DSS.

Мы передаем поставщикам, сертифицированным по PCI DSS, ряд сервисов на аутсорсинг. Это дает снижение затрат на поддержание собственной инфраструктуры, а также освобождает наших специалистов от выполнения непрофильных задач, позволяя сосредоточиться только на бизнесе компании.

В перспективе содержание собственной серверной инфраструктуры становится нецелесообразным, т. к. использование облачных сервисов выгодно, удобно и надежно — это общемировой тренд.


Кирилл Иванов, директор по эксплуатации группы компаний Assist

В заключение приведем комментарий одного из первых российских облачных провайдеров, сертифицировавшего по PCI DSS как свою виртуальную инфраструктуру в модели IaaS, так и управляемые сервисы на ее основе.

В отличие от большинства российских стандартов и систем сертификации, аудит на соответствие PCI DSS — это действительно работающий инструмент, который затрагивает не только процессы, но и техническую реализацию этих требований. Доверие к результатам внедрения этого стандарта обусловлено строгим контролем со стороны международных платежных систем.

На подготовку к сертификационному аудиту нашего облака мы потратили больше года, и в 2015 году успешно сертифицировали по PCI DSS свои услугиPCI DSS compliant hosting на всех востребованных рынком уровнях передачи ответственности: colocation, IaaS и MSP (управляемые сервисы). Наши клиенты — банки, платежные системы, шлюзы и торгово-сервисные предприятия — получают все преимущества от сертификации PCI DSS с минимальными усилиями (при аудите большая часть требований формально закрывается посредством предоставления нашего PCI DSS сертификата сервис-провайдера).


Александр Стародубцев, заместитель генерального директора группы компаний «ИТ-ГРАД»

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn