Как правильно изолировать POS-терминалы согласно PCI DSS?

POS-терминалы выносятся в отдельный VLAN, который физически или логически изолируется от остальных сегментов сети. Межсетевой экран контролирует весь трафик из этого VLAN и запрещает прямые соединения с корпоративными сегментами.

Что такое NGFW и чем он отличается от обычного файрвола?

NGFW (Next-Generation Firewall) — межсетевой экран с глубокой инспекцией трафика, распознаванием приложений, системой предотвращения вторжений (IPS) и веб-фильтрацией. В отличие от классического файрвола, он анализирует содержимое пакетов, а не только заголовки.

Можно ли централизованно управлять NGFW в 30 магазинах?

Да. Современные NGFW поддерживают централизованное управление через облачную или on-premise платформу. Политики безопасности разворачиваются одновременно на всех устройствах, логи собираются в единую консоль.

Сколько стоит поставка NGFW на 30 магазинов оптом?

Стоимость настольного NGFW 1 Гбит/с — от 40 до 150 тысяч рублей с НДС за устройство в зависимости от производителя и набора лицензий. При закупке на 30 точек действует оптовая скидка.

Как обеспечить резервный интернет-канал в магазине при отказе провайдера?

Устанавливается маршрутизатор с поддержкой 4G LTE и слотом для SIM-карты. При обрыве основного канала устройство автоматически переключает трафик на мобильную сеть. Критичные сервисы (POS, эквайринг) работают без перерыва.

Сегментация сети и NGFW для ритейла

Сегментация сети и межсетевой экран в торговой сети из 30 магазинов

Федеральная торговая сеть разделила корпоративный и гостевой Wi-Fi, изолировала POS-терминалы в отдельный сегмент и развернула NGFW-периметр — выполнив требования PCI DSS.

Служба информационной безопасности федеральной торговой сети получила аудиторское заключение: POS-терминалы в 30 магазинах подключены к той же сети, что и корпоративные компьютеры и гостевой Wi-Fi. Это нарушение требований стандарта PCI DSS и реальный риск компрометации платёжных данных. Требовалось устранить нарушение за один квартал.

Задача клиента

В каждом из 30 магазинов: разделить сеть на три изолированных сегмента (POS, корпоративный, гостевой), развернуть NGFW на периметре, обеспечить резервный интернет-канал для эквайринга. Управление сетью — централизованное, без выезда ИТ-специалиста в каждый магазин.

Ограничения и требования

Оборудование должно поддерживать централизованное управление из единой консоли без on-premise сервера.
Монтаж в магазинах — в нерабочее время (ночные часы), без остановки торговли.
Бюджет на оборудование зафиксирован до начала проекта — не более 270 тысяч рублей на одну точку.
Оплата по счёту с НДС, единый договор поставки на всю партию.

Что предложили

Инженеры ВИСТЛАН разработали типовую конфигурацию для одного магазина: NGFW 1 Гбит/с с поддержкой централизованного управления, коммутатор PoE+ 24 порта для подключения POS-терминалов и телефонов, две точки доступа Wi-Fi 6 для корпоративного и гостевого сегментов (разделены SSID + VLAN), маршрутизатор с LTE-модулем для резервного канала, ИБП 800 ВА для защиты от кратковременных отключений. Облачный контроллер Wi-Fi — единая лицензия на 100 точек.

Поставка организована тремя партиями по 10 комплектов: каждая партия — после подтверждения монтажа предыдущей.

Состав поставки по подсистемам

Безопасность периметра: 30 NGFW настольных 1 Гбит/с, 4×GE + 2×SFP.
Коммутация: 30 коммутаторов 24×1G PoE+ 195 Вт, 30 коммутаторов 8×1G настольных.
Беспроводная сеть: 60 точек доступа Wi-Fi 6 Dual Band PoE, облачная лицензия 100 точек 3 года.
Резервирование канала: 30 маршрутизаторов с LTE-модулем и SIM-слотом.
Электропитание: 30 ИБП 800 ВА Line-Interactive.

Этапы и сроки

День 1–3: согласование типовой конфигурации, проверка бюджета на магазин. День 4: выставление счёта на первую партию (10 комплектов). День 6: отгрузка первой партии. День 8–10: получение и монтаж первой партии. День 11–14: поставка второй партии. День 16–20: поставка и монтаж третьей партии. Итого: 30 магазинов оснащены за 20 рабочих дней.

Результат

POS-терминалы изолированы в отдельный VLAN с контролем трафика на уровне NGFW. Гостевой Wi-Fi не имеет доступа к корпоративным ресурсам. Резервный LTE-канал защищает эквайринг от обрывов провайдера. Требования PCI DSS выполнены, повторный аудит прошёл без замечаний. Экономия на оборудовании — 15% относительно розничных цен.

Почему выбрали нас

ВИСТЛАН поставляет сетевое оборудование и межсетевые экраны для ритейла с 2006 года. Типовые конфигурации для сетевых магазинов — наш повседневный профиль. Единый счёт с НДС на 30 комплектов, поставка партиями под график монтажа — без лишних согласований.

Все сроки, цены и технические параметры, упомянутые в кейсе, приведены для иллюстрации и могут отличаться в зависимости от конкретного проекта и актуального наличия оборудования.

Кейс приведён для примера, данные обезличены. Состав, цены, сроки и экономия носят справочный характер, не являются публичной офертой и не гарантируют аналогичный результат — каждый проект рассчитывается индивидуально, наличие и цены подтверждаются при оформлении заказа.

Межсетевой экран NGFW, 1 Гбит/с FW throughput, 4×GE + 2×SFP, настольный	30 шт.
Коммутатор управляемый 24×1G PoE+ 195 Вт + 4×SFP, L2+	30 шт.
Точка доступа Wi-Fi 6 Dual Band, PoE, внутренняя антенна	60 шт.
Контроллер беспроводной сети облачный, лицензия на 100 точек, 3 года	1 шт.
Коммутатор управляемый 8×1G + 2×SFP, настольный, без PoE	30 шт.
ИБП 800 ВА Line-Interactive, 4×C13, настольный	30 шт.
Маршрутизатор 4G LTE резервный канал, 2×GE, SIM-слот	30 шт.

Сегментация сети и межсетевой экран в торговой сети из 30 магазинов

Коротко о проекте

Что поставили

Частые вопросы

Посчитайте свою экономию

Нужно похожее решение?