Компания ioka обратилась к нам впервые 3 года назад — тогда мы мигрировали их приложения в Казахстан, чтобы избежать задержек и блокировок. В облаке осталась standby-копия системы как запасной план на случай, если ЦОД будет недоступен.
Для тех, кто работает с платежными данными, есть особые требования. Поэтому мы поднимали их инфраструктуру, следуя стандартам безопасности PCI DSS. Ниже рассказываем, чем помогли компании в этот раз.
Задача
В экосистеме онлайн-платежей ioka разработка не прекращается, а стек технологий постоянно растет. Приближалась ежегодная сертификация PCI DSS. С этой задачей компания и обратилась к нам — получить сертификат PCI DSS 4.0.
Решение
Пройти аудит на собственном железе гораздо сложнее, да и ресурсов от разработчиков требуется больше. Чтобы клиент получил сертификат и продолжил работу более эффективно, мы взяли на себя подготовку компании к новой сертификации.
PCI DSS — это список требований, по которому нужно выполнить все пункты. От него зависит и безопасность платежных данных, и репутация компании.
На первом этапе сертификации аудитор отправляет документы со списком из 288+ критериев. Мы заполнили эти документы совместно с сотрудниками ioka и составили план работ.
На втором этапе прощупывали инфраструктуру самостоятельно, исходя из особенностей стека и собственных наработок. Так мы выяснили, что есть и мелкие недочеты, и критичные уязвимости. Их и исправляли: ioka по части приложения, мы — по инфраструктуре.
На третьем этапе аудитор запрашивает доступы, проверяет систему на безопасность и отправляет отчет по доработкам — а мы их внедряем. Так может повториться несколько раз.
Сложность была в том, что ioka проходила сертификацию по новому стандарту PCI DSS 4.0 — многие требования нельзя просто выполнить, не нарушив инфраструктуру. Например, есть компоненты Kubernetes, которые лучше не трогать — иначе все пришлось бы пересобирать при каждом обновлении. Но мы нашли решение, как подойти к ситуации с другой стороны. Также к аудиту добавился WAF (Web Application Firewall) — межсетевой экран для веб-приложений.
На четвертом этапе — интервью с аудитором на 3-4 часа. Когда мы исправили в точности все по списку, аудитор задает вопросы: от системных до административных, от особенностей системы до устройства процессов в компании.
Последний этап — прошли внешнее и внутреннее сканирование систем аудитором, а затем и пентест.
Результат
Мы делали все, что касается DevOps и инфраструктуры, общались с клиентом в чате, и каждый выполнял свою часть работы. Отработав комментарии по всем отчетам, закрыли все требования PCI DSS и прошли аудит.
После наших исправлений по рекомендациям аудитора ioka получила сертификат по стандарту PCI DSS 4.0.
Выявим проблемы, пройдем весь путь с аудитором вместе и сделаем все, чтобы вы прошли сертификацию
Узнать больше