PCI-aware VPS хостинг для проектов с приёмом платежей

PCI DSS состоит из 12 групп требований, охватывающих сетевую безопасность, защиту данных карт, управление уязвимостями, контроль доступа, мониторинг и политики. Не все требования применимы к хостинг-провайдеру, и не все - к самому проекту клиента. Граница определяется через scoping - процесс выделения зоны, где обрабатываются карточные данные (CDE, Cardholder Data Environment).

• SAQ A: Самый простой уровень для проектов, которые полностью отдают платежи на сторону внешнего PSP (Stripe, NowPayments, Plisio). На нашем VPS остаётся только редирект и обработка callback.
• SAQ A-EP: Если на странице оплаты загружается скрипт PSP, но HTML-шаблон формирует клиент. Требует чуть больше контроля, но всё ещё совместимо с обычным VPS без специальной сертификации.
• SAQ D: Полный контроль над платёжной формой и обработкой. Требует серьёзной сертификации, чаще всего арендуется сертифицированный PCI-облачный провайдер. Для большинства малых проектов это избыточно.
• Anubiz Host: Подходит для SAQ A и SAQ A-EP сценариев. Клиент строит фронтенд и бэкенд бизнес-логики, а платёж проходит через PSP, который сам сертифицирован.

Базовая инфраструктура нашего VPS позволяет реализовать ключевые контроли PCI DSS на уровне ОС и приложения. Это покрывает большую часть требований SAQ A-EP и облегчает прохождение аудита для SAQ D, если клиент решит расширить scope.

• Firewall: nftables или ufw из коробки. Можно ограничить входящий трафик до известных IP-адресов PSP и админских клиентов.
• Сегментация: Через приватный VLAN несколько VPS одного клиента объединяются в защищённую сеть. Платёжная зона изолируется от фронтенда.
• TLS: Поддержка TLS 1.3 с современными шифрами на уровне веб-сервера. Сертификаты Let's Encrypt автоматизируются через certbot или caddy.
• Шифрование диска: LUKS на уровне раздела, ключи хранятся у клиента. Это обеспечивает соответствие требованиям защиты данных в покое.
• Логирование: auditd для системных вызовов, fail2ban для предотвращения brute-force, rsyslog для отправки логов на отдельный сервер.
• Минимизация поверхности: Образы Debian и AlmaLinux устанавливаются в минимальной конфигурации без лишних сервисов.

Один из распространённых вопросов: можно ли принимать платежи на сайте, если сам хостинг арендован анонимно. Ответ зависит от того, как организован процесс. Сами карточные данные обрабатывает сертифицированный PSP, а наш VPS обслуживает витрину и бизнес-логику. Анонимная регистрация в Anubiz Host не противоречит этой схеме.

• KYC у PSP: При интеграции с серьёзным эквайером владелец бизнеса проходит верификацию у самого PSP, а не у хостера. Это нормальная практика индустрии.
• Юрисдикция данных: Если карточные данные остаются у PSP, а на нашем VPS хранятся только токены и метаданные транзакций, юрисдикция Исландия или Румыния играет в пользу клиента, не конфликтуя с требованиями карточных систем.
• Защита от изъятия: Запрос данных бизнеса у Anubiz Host из третьей страны проходит длинный путь через MLAT, а такого соглашения с США и большинством офшорных юрисдикций у Исландии нет.
• Crypto-only оплата хостинга: Bitcoin или Monero для оплаты услуг Anubiz Host не влияют на PCI compliance клиентского проекта. Эти платежи - между клиентом и хостером, а не между клиентом и его покупателями.

Контакт для архитектурной консультации: [email protected].