Majoritatea echipelor tratează PCI DSS ca pe o alarmă de incendiu. Așteaptă auditorul, intră în panică și apoi petrec șase săptămâni demonstrând că un sistem pe care nu l-au proiectat niciodată pentru securitate este, cumva, sigur. Până atunci, mediul datelor de card s-a răspândit deja discret în pipeline-urile de logare, în uneltele de suport, în bucket-urile de backup și într-un fișier de calcul de pe laptopul cuiva. Auditul este greu pentru că domeniul este enorm, iar domeniul este enorm pentru că nimeni nu a decis vreodată altfel.
Cele mai ieftine date de card sunt cele pe care nu le atingi niciodată
Un număr primar de cont este o datorie din clipa în care intră în memoria ta. Fiecare serviciu care îl stochează, procesează sau transmite este atras în domeniu, iar domeniul este exact ceea ce măsoară evaluarea. Așa că mutarea câștigătoare nu este să criptezi PAN-ul în mai multe locuri. Este să te asiguri că PAN-ul ajunge în aproape niciun loc. Numărul de card pe care serverele tale nu îl văd niciodată este numărul pe care nu trebuie să îl protejezi, să îl cureți din loguri, să îi rotești cheile sau să îl explici unui QSA.
Împinge PAN-ul la margine
Pentru asta există câmpurile găzduite și iframe-urile. Câmpul de introducere a cardului este servit direct de procesatorul tău, într-un cadru pe care propriul tău JavaScript nu îl poate citi. Numărul călătorește din browser către procesator și se întoarce ca un token, o referință fără sens, inutilă dacă este furată. Backend-ul tău stochează token-ul, taxează pe baza lui și returnează pe baza lui, fără să dețină vreodată un PAN real. Făcut corect, datele sensibile îți traversează rețeaua de exact zero ori, iar codul aplicației tale nu moștenește niciun risc.
Trasează granița înainte să scrii codul
Tokenizarea dă roade doar dacă restul arhitecturii respectă linia. Într-o rețea plată, o singură gazdă expusă târăște fiecare sistem adiacent în mediul datelor de card. Segmentarea este modul în care limitezi raza exploziei: pune cele câteva componente care ating vreodată fluxurile de card pe propriul lor segment izolat, controlează-l cu reguli de firewall explicite și refuză totul altceva în mod implicit. Când poți arăta cu degetul o diagramă și numi cele patru servicii din domeniu, ai un sistem despre care chiar poți raționa.
Acesta este adevăratul premiu. Minimizează domeniul suficient de agresiv și cobori de la un interogatoriu SAQ D al întregii tale infrastructuri la o trecere în revistă SAQ A a câtorva endpoint-uri. Auditorul încetează să mai caute date de card prin infrastructura ta pentru că nu au unde să se ascundă. Conformitatea încetează să mai fie o săpătură arheologică anuală și devine o scurtă confirmare a unei granițe pe care ai trasat-o intenționat, în avans, cu un scop clar.
Domeniul nu este ceva ce demonstrezi după ce s-a întâmplat. Este o linie pe care o trasezi pe tablă înainte ca prima cerere să fie procesată.— Protocore · Inginerie plăți
Am construit astfel o platformă de plăți pentru un festival cu 80.000 de participanți și am procesat 2,4 milioane de euro în trei zile, cu confirmare la atingere în 120ms și zero dispute de decontare. Mediul datelor de card a fost o listă scurtă de endpoint-uri de tokenizare, pentru că am tratat domeniul ca pe o intrare de design, nu ca pe o gândire de ultim moment. Decide unde trăiesc datele de card înainte să construiești, iar auditul se transformă într-o trecere în revistă, pentru că munca grea fusese deja făcută.
Ai un sistem de construit?
Spune-ne care e problema. Revenim cu o arhitectură și un plan.
Începe un proiect