Изисквания на PCI стандарта към доставчиците на споделен хостинг

Поради възможността за хостване на електронни магазини на споделен хостинг, PCI съвета въвежда следните минимални изисквания към доставчиците на услугата, за да получат лиценз за PCI съвместимост.

Понеже това е на практика информацията, която най-много ни интересува, публикуваме цялото съдържание на изискванията.

A.1.1 Уверете се, че всеки потребител изпълнява само процеси със собственото ID (или потребителско име)и има достъп единствено до акаунта на този потребител.

Ако хостинг доставчика позволява на потребителите (търговци или доставчици на услуги) да инсталират собствени приложения, уверете се, че процесите от тези приложения се изпълняват от уникалният ID на потребителя: напр. нито един потребител не ползва споделено или общо ID.

Всички CGI скриптове трябва да са собственост и да се изпълняват с ID на потребителя.

A.1.2 Разрешете достъп и привилегии на всеки потребител единствено до хостинг пространството на неговият потребител.

A.1.2.a Уверете се, че ID на потребителя на всички процеси не е потребител с по- високи привилегии на права и достъп (напр. root или администратор).

A.1.2.b Уверете се, че всеки потребител (търговец или доставчик на услуги) има пълни права за четене, писане и изпълнение само за неговите собствени директории и файлове или за необходимите системни файлове ( които от своя страна са ограничени от правата на файловата система, списъци за контрол на достъпа, jailshell, chroot).

Важно е файловете на потребителя да не се споделят от потребителите в групата.

A.1.2.c Уверете се, че нито един потребител няма права за писане в споделените бинарни системни файлове.

A.1.2.d Уверете се, че всеки един потребител има достъп единствено до
собствените лог файлове.

A.1.2.e Уверете се, че нито един потребител не може да монополизира ресурсите на сървъра и че са установени рестрикции по отношение на следните сървърни ресурси: дисково пространство, трафик, памет и процесорно време.

A.1.3 Уверете се, че системите за логване в акаунта и записването на достъпа в лог файлове са активирани и данните за достъп до акаунта са уникални за всеки потребител.

A.1.3а Уверете се, че хостинг доставчикът е активирал записването в лог файлове за всички потребители (търговци или доставчици на услуги):

  • логовете са активирани по подразбиране
  • логовете са активирани за всички приложения на трети страни
  • логовете са на разположение на собственика на акаунта по всяко време
  • потребителят е информиран ясно къде се намират логовете

A.1.4 Направете възможно разследването в случай на компрометиране на потребителски акаунт (търговец или доставчик на услуги).

A.1.4a Уверете се, че хостинг доставчикът има публикувана политика на поверителност (условия за ползване), която разрешава достъпа на разследващите органи до съответните сървъри в случай на компрометиран потребителски акаунт.

На фона на цялата споделена информация в статиите дотук, нека повторим неоспоримия факт:

ICN.bg е единствената хостинг компания в България, която има лиценз за PCI съвместимост като според изискванията на PCI стандарта за лицензиране, дефинирани като PCI levels, се лицензира чрез SAQ технология и сканирането на сървърите се прави от лицензираната ASV компания McAfee.

Попитайте вашата хостинг компания за техният PCI лиценз и преценете дали получавате най-добрият възможен хостинг за същата или дори по-изгодна цена?

Един много важен въпрос виси във въздуха и ние няма да го отминем без отговор.

Защо като хостинга на ICN.bg е лицензиран като най-сигурен, моята Joomla пак беше хакната?

Въпреки, че отговорът се съдържа във въпроса, ние ще дадем пълно обяснение за да бъдем както винаги максимално полезни на нашите клиенти.

Хакнато е софтуерно приложение, без значение дали е Joomla, Wordpress или E107 и т.н.

Когато получим информация за подобен проблем, ние винаги възстановяваме сайта от архив и правим проверка в логовете на сървъра за начина на хакване.

В 90% от случаите откриваме, че хакването се дължи на стара версия на програмата (при пускане на нова стабилна версия разработчиците винаги казват какви дупки в сигурността са запушени в предишната версия и по-този начин информират заинтересованите лица къде са проблемите).

В голям процент от случаите клиента е изтеглил и активирал заразен темплейт, в който са добавени шел скриптове за достъп.

В много случаи клиенти си изтеглят т.нар. нулирани програми (копие на лицензирани програми като IPB форум, които нямат безплатна версия с премахнати лицензионни настройки) от торентите и после се жалват на съпорта, че програмата е хакната?

Естествено, че хакера ше си остави достъп до акаунта на тези хитреци.

Много често се ползват плъгини и компоненти, които са написани от не дотам грамотни програмисти и впоследствие са изоставени от създателите си като последният ъпдейт е от преди години ако изобщо компонента има втора версия.

Имали сме случаи на хакнати сайтове, написани през 2003г. на PHP4 и ни е доста трудно да обясним на уебмастера, че неговият сайт в технологично отношение е един стар Москвич 403, ако ползваме автомобилната аналогия.

Сигурността на хостинг средата означава, че ако вие инсталирате защитен срещу инжекции скрипт, който има regex филтри за всяка форма, през която може да се инжектира (GET/POST) скрипт (PHP 5 има достатъчно добри защитни механизми и функции), ако филтрирате през .htaccess файл достъпа до администрацията само до вашите собствени IP адреси, ако ползвате сложни пароли с малки и главни букви, цифри и специални символи с поне осем знака дължина (вместо любимата на 50 процента клиенти парола 123456), ако ползвате SFTP или се възползвате от възможността на CPanel да ползвате ИП филтър за FTP достъп, тогава вашият акаунт не може да бъде хакнат с външна BruteForce, Dictionary или каквато и да е друга атака, не може да бъде хакнат от друг потребител на същият сървър поради покриване на PCI изискванията, цитирани по-горе.

Това е разликата между сигурна хостинг среда и сигурен код на сайта.

ICN.bg предоставя лицензирана сигурна хостинг среда, инсталирането на сигурен софтуер е отговорност на клиента.

Надяваме се, че информацията в тази поредица от статии ви е била интересна и полезна.

Благодарим ви за интереса към продуктите и услугите на ICN.bg