GigaCloud получил сертификат соответствия стандарту информационной безопасности PCI DSS
GigaCloud первым из украинских облачных операторов получил сертификат соответствия стандарту информационной безопасности PCI DSS. Сертификация по этому стандарту прошел также дата-центр GigaCenter, что вместе с GigaCloud входит в группу компаний GIGAGROUP.
CTO GigaCloud Кирилл Науменко ответил на вопросы InternetUA
Зачем это было нужно?
Для прохождения аудита у нас было две основных мотивации. В первую очередь мы хотели облегчить прохождение сертификации PCI DSS нашим клиентам из финтех-сферы или тем компаниям, которым это необходимо.
Во-вторых, требования сертификации по PCI DSS оказались жестче, чем наша действующая на тот момент система управления информационной безопасностью. Наши клиенты тоже с каждым годом становятся всё требовательнее. Это стало для нас хорошим поводом усилить контроль за нашей облачной инфраструктурой и безопасностью данных.
С какими препятствиями столкнулись специалисты?
Безопасность и комфортность работы ― две противоположности, которые всегда нужно балансировать. Причем под комфортом мы понимаем удобство работы наших системных инженеров, легкость администрирования и мониторинга.
Требования сертификации довольно строгие. Часть правил PCI DSS по парольным политикам и системам сбора логов потребовали от нас внести изменения в повседневную работу специалистов, а также прописать определенные технические регламенты. Также мы дополнили наш план регламентных работ целым рядом новых требований.
До прохождения сертификации по этому стандарту GigaCloud и GigaCenter уже имели международные сертификаты по информационной безопасности ISO 27001. Это помогло нам пройти аудит по PCI DSS в кратчайшие сроки. Теперь у клиентов GigaCloud есть возможность размещаться сразу на двух технических площадках, сертифицированных по стандарту PCI DSS: в дата-центрах GigaCenter и BeMobile.
Какое оборудование пришлось установить?
Мы столкнулись с необходимостью внести довольно серьезные изменения в сетевую архитектуру на границах периметров безопасности. PCI DSS требует для административных доступов двойную аутентификацию — чтобы это реализовать, нам пришлось вносить коррективы в архитектуру, докупать программное обеспечение и физические устройства.
Как теперь все работает?
Работает всё так же хорошо, как и раньше :) Конечно, в каких-то элементах рабочего процесса изменения и новые правила стали менее удобными для сотрудников. Но весь набор регламентов, требований, технологических карт и модификаций, которые нам пришлось реализовать, теперь поможет администрировать наши облачные инфраструктуры и облегчит регулярный аудит по информационной безопасности.
Для сотрудников прохождение аудита было сложным, но полезным и интересным, они прокачали свои навыки по кибербезопасности. Все наши будущие площадки и частные решения мы будем строить исключительно с учетом всех этих регламентов.