PD
И да, откатить назад надо уметь всегда. Неоткатываемый релиз - это форс-мажор, ну раз в год такое позволительно, да и то...
Size: a a a
2021 August 15
VA
а вы под CD что понимаете при этом? Continuous Delivery или Continuous Deployment?
K
Compact disk
PD
И то и другое. Оно не нужно для большей части проектов в финтехе.
PD
Continuous Deployment с соблюдением pci dss - я вообще не верю. Delivery просто не требуется.
VA
согласен. разрабы на COBOL нужны
VA
ну хз-хз. Мы как-то проходим же PCI DSS уже который год и CI/CD имеем при этом
OS
Так в головах большинства техдиров как раз та самая картинка, про enlarge your pipeline
PD
Э, а как у вас защищены данные панов от админов при автоматической выкладке?
PD
Хотя, если аудитор дорогой, он что угодно подпишет.
VA
а как вы их защищаете при ручной выкладке?
PD
Шамир, три подписи, так как это только один микросервис без изменений.
Правильнее через одноразовые коробочки в вольте, хотя там свои беды. Или через otp в сейфе для дежурных, но это мы не успели реализовать
Правильнее через одноразовые коробочки в вольте, хотя там свои беды. Или через otp в сейфе для дежурных, но это мы не успели реализовать
PD
Но принципиально, что процесс любого доступа к pci dss зоне только по разрешению СБ. И это из базовых правил безопасности.
PD
Но в нормальной системе кода, который под pci dss должно быть настолько мало, что вообще пофиг, как его выкладывать.
И он вообще не меняется годами. Ну, разве что отдельные шлюзы к эквайрам или пс, да и то - раз в полгода.
И он вообще не меняется годами. Ну, разве что отдельные шлюзы к эквайрам или пс, да и то - раз в полгода.
PD
Так как у вас в CD решается эта проблема?
VA
отдельной репой и CI сервером
PD
Ээ, и как это решает задачу защиты базы данных панов от админа?
PD
Откуда при рестарте сервиса берутся ключи для расшифровки панов (вы же их шифруете, да?)
PD
Ну или хотя бы ключи от tls сертификатов межсервисного обмена?
VA
оттуда же, откуда вы берёте их при ручной выкладке - из Vault