Кейс ioka: как помогли пройти сертификацию PCI DSS 4.0

Компания ioka обратилась к нам впервые 3 года назад — тогда мы мигрировали их приложения в Казахстан, чтобы избежать задержек и блокировок. В облаке осталась standby-копия системы как запасной план на случай, если ЦОД будет недоступен.


Для тех, кто работает с платежными данными, есть особые требования. Поэтому мы поднимали их инфраструктуру, следуя стандартам безопасности PCI DSS. Ниже рассказываем, чем помогли компании в этот раз.

Задача

В экосистеме онлайн-платежей ioka разработка не прекращается, а стек технологий постоянно растет. Приближалась ежегодная сертификация PCI DSS. С этой задачей компания и обратилась к нам — получить сертификат PCI DSS 4.0.

Решение

Пройти аудит на собственном железе гораздо сложнее, да и ресурсов от разработчиков требуется больше. Чтобы клиент получил сертификат и продолжил работу более эффективно, мы взяли на себя подготовку компании к новой сертификации.

PCI DSS — это список требований, по которому нужно выполнить все пункты. От него зависит и безопасность платежных данных, и репутация компании.

На первом этапе сертификации аудитор отправляет документы со списком из 288+ критериев. Мы заполнили эти документы совместно с сотрудниками ioka и составили план работ.


На втором этапе прощупывали инфраструктуру самостоятельно, исходя из особенностей стека и собственных наработок. Так мы выяснили, что есть и мелкие недочеты, и критичные уязвимости. Их и исправляли: ioka по части приложения, мы — по инфраструктуре.


На третьем этапе аудитор запрашивает доступы, проверяет систему на безопасность и отправляет отчет по доработкам — а мы их внедряем. Так может повториться несколько раз.

Сложность была в том, что ioka проходила сертификацию по новому стандарту PCI DSS 4.0 — многие требования нельзя просто выполнить, не нарушив инфраструктуру. Например, есть компоненты Kubernetes, которые лучше не трогать — иначе все пришлось бы пересобирать при каждом обновлении. Но мы нашли решение, как подойти к ситуации с другой стороны. Также к аудиту добавился WAF (Web Application Firewall) — межсетевой экран для веб-приложений.

На четвертом этапе — интервью с аудитором на 3-4 часа. Когда мы исправили в точности все по списку, аудитор задает вопросы: от системных до административных, от особенностей системы до устройства процессов в компании.


Последний этап — прошли внешнее и внутреннее сканирование систем аудитором, а затем и пентест.

Результат

Мы делали все, что касается DevOps и инфраструктуры, общались с клиентом в чате, и каждый выполнял свою часть работы. Отработав комментарии по всем отчетам, закрыли все требования PCI DSS и прошли аудит.


После наших исправлений по рекомендациям аудитора ioka получила сертификат по стандарту PCI DSS 4.0.

Поможем пройти аудит PCI DSS 4.0

Выявим проблемы, пройдем весь путь с аудитором вместе и сделаем все, чтобы вы прошли сертификацию

Узнать больше