Este guia destina-se a ajudar a resolver preocupações exclusivas das aplicações do Google Kubernetes Engine (GKE) quando implementa responsabilidades do cliente para os requisitos da Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).
Exclusão de responsabilidade: este guia destina-se apenas a fins informativos. A Google não pretende que as informações nem as recomendações neste guia constituam aconselhamento jurídico ou de auditoria. Cada cliente é responsável por avaliar independentemente a sua própria utilização específica dos serviços, conforme adequado, para apoiar as suas obrigações legais e de conformidade.
Introdução à conformidade com a PCI DSS e o GKE
Se processar dados de cartões de pagamento, tem de os proteger, quer residam numa base de dados nas instalações ou na nuvem. A PCI DSS foi desenvolvida para incentivar e melhorar a segurança dos dados dos titulares de cartões, bem como facilitar a ampla adoção de medidas de segurança de dados consistentes a nível global. A PCI DSS fornece uma base de requisitos técnicos e operacionais concebidos para proteger os dados de cartões de crédito. A PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e fornecedores de serviços. A PCI DSS também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) ou dados de autenticação sensíveis (SAD), ou ambos.
As aplicações em contentores tornaram-se populares recentemente, com muitas cargas de trabalho antigas a migrarem de uma arquitetura baseada em máquinas virtuais (VMs) para uma arquitetura em contentores. O Google Kubernetes Engine é um ambiente gerido e pronto para produção para implementar aplicações em contentores. Oferece as mais recentes inovações da Google em termos de produtividade dos programadores, eficiência dos recursos, operações automatizadas e flexibilidade de código aberto para acelerar o tempo de colocação no mercado.
A conformidade é uma responsabilidade partilhada na nuvem. Google Cloud, incluindo o GKE (modos de funcionamento Autopilot e Standard), cumpre os requisitos da PCI DSS. Descrevemos as nossas responsabilidades na nossa matriz de responsabilidade partilhada.
Público-alvo
- Clientes que querem transferir cargas de trabalho em conformidade com a PCI para o Google Cloud que envolvem o GKE.
- Programadores, responsáveis de segurança, responsáveis de conformidade, administradores de TI e outros funcionários responsáveis pela implementação de controlos e pela garantia da conformidade com os requisitos da PCI DSS.
Antes de começar
Para as recomendações que se seguem, tem potencialmente de usar o seguinte:
- Google Cloud Recursos de organização, pasta e projeto
- Gestão de identidade e de acesso (IAM)
- Google Kubernetes Engine
- Google Cloud VPCs
- Google Cloud Armor
- A API Cloud Data Loss Prevention (parte da proteção de dados confidenciais)
- Identity-Aware Proxy (IAP)
- Security Command Center
Este guia destina-se a pessoas que conhecem os contentores e o GKE.
Âmbito
Este guia identifica os seguintes requisitos da PCI DSS que são preocupações únicas para o GKE e fornece orientações para os cumprir. Foi escrita em conformidade com a versão 4.0 da norma. Este guia não abrange todos os requisitos da norma PCI DSS. As informações fornecidas neste guia podem ajudar as organizações na sua procura de conformidade com a norma PCI DSS, mas não constituem aconselhamento abrangente. As organizações podem contratar um avaliador de segurança qualificado (QSA) da PCI para validação formal.
| Objetivos da PCI DSS | Requisitos da PCI DSS |
|---|---|
| Segmente o seu ambiente de dados de titulares de cartões | Por vezes, é denominado requisito 0. Embora não seja obrigatório para a conformidade com a PCI, recomendamos este requisito para manter o âmbito da PCI limitado. |
| Crie e mantenha uma rede e sistemas seguros | 1. Instale e mantenha controlos de segurança de rede
2. Aplique configurações seguras a todos os componentes do sistema |
| Proteja os dados da conta | 3. Proteja os dados da conta armazenados 4. Proteger os dados de titulares de cartões com criptografia forte durante a transmissão através de redes públicas abertas |
| Mantenha um programa de gestão de vulnerabilidades | 5. Proteger todos os sistemas e redes contra software malicioso 6. Desenvolver e manter sistemas e software seguros |