Есть ли у нас облачные решения с сертификацией pci dss?
Добрый день.
Подбираем варианты для платежного сервиса который необходимо будет подвести под стандарт pci dss.
Вопрос в части инфраструктуры.... с точки зрения дешевизны в сочетании с отказоустойчивости и расширяемости в основном смотрим в сторону облачных виртуалок или сервисных облаков (яндек, амазон)... Дедики получатся дороже...
Посмотрели облака: selectel - предложили вариант с дедиками, про облако никак не сертифицировали и соответствие стандартам они не могут гарантировать.
infobox - не проходили сертификацию со слов техподдержки. Соответствие требованиям - непонятно.
Яндекс.Облако - не ответили, ну и что-то подсказывает что это будет несколько дороже...
IT-Grad везде пиарятся что соответствуют по максимуму...
В принципе гугление по словам "pci dss хостинг" дает еще пару альтернатив в т.ч. облачных...
Но хотелось бы узнать реальные кейсы, кто проходил сертификацию на облаках и на каких... имеют ли смысл все эти сертификации в плане упрощения получения сертификата? И вообще насколько валидно размещение в облаке, некоторые пункты требований стандарта я не совсем понимаю как вписать в концепцию облака?
Я вам открою один важный секрет - если хостинг сертифицирован pci dss то это никак не распространяется на ваше приложение. Данную сертификацию вам предстоит проходить самостоятельно.
это не секрет)
Просто ПО это один пункт чек листа.
Еще пара пунктов - административные правила...
А еще отдельный набор пунктов - размещение серверов, защита линий связи, физический доступ к серверам. И разрешить эти вопросы без участия хостера мне представляется проблематично, особенно если речь идет про облако.
Multigame, тут полностью согласен. Например, AWS снимает вопросы по физическому доступу к серверам и по линиям связи головняк в этом вопросе. Есть даже четкий мануал как это все делать. Что в российских реалиях - не очень представляю - тут надо запрашивать действительно отдел продаж. Если понадобится консультация по AWS обращайтесь отдельно - могу построить архитектуру
Иван Шумов, да, aws очевидно подойдет... но тут могут начаться вопросы по 152-ФЗ, поскольку тут очевидно нет соответствия... будем искать...
Просто доверия пре-сэйлам нет)
Простой
Сложный
Простой