01.06.2026

Платформа VMware vCenter роками залишається головним стандартом корпоративної віртуалізації для більшості банків і фінтех-компаній. Цей інструмент забезпечує централізоване управління інфраструктурою та є надійним фундаментом, на якому будується безпечне середовище обробки карткових даних (CDE). Проте навіть перевірені часом архітектури опиняються під загрозою через чинники, на які бізнес не може безпосередньо впливати — ліцензійну політику вендора.
Після поглинання VMware корпорація Broadcom повністю змінила комерційну модель: безстрокові ліцензії зникли, а їх замінили обов'язкові пакетні підписки, що спровокувало стрибок витрат для організацій. Разом із фінансовим навантаженням перед компаніями постало й часове обмеження: 11 жовтня 2027 року популярна версія vCenter 8.0 офіційно виходить з підтримки. 
Розберімося, чому ця подія може заблокувати проходження найближчого планового аудиту PCI DSS.

Як припинення безпекових релізів вплине на захист інфраструктури

Нова ліцензійна політика Broadcom перетворює звичне оновлення на серйозний виклик. vCenter 8.0 — остання версія платформи, яка дозволяла компаніям гнучко обирати архітектуру: окремо ліцензувати сервери віртуалізації, автономно докуповувати обсяги сховищ даних (vSAN) або підключати інструменти мережевого захисту.
Після 11 жовтня 2027 настає End of General Support (EoGS) — повне припинення базової підтримки, випуску виправлень безпеки та надання технічної допомоги для цієї версії. Компанії, які продовжать використовувати vCenter 8.0 після цієї дати, фактично залишаться без захисту від нових вразливостей.
Перехід на vSphere 9 передбачений виключно для власників підписок VCF (комплексного хмарного пакета VMware Cloud Foundation) або VVF (базового інфраструктурного набору vSphere Foundation). Цей сценарій уже розгортається з vSphere 7: 2 жовтня 2025 року він вийшов з підтримки, і компанії, що відкладали міграцію, вже зіткнулися з наслідками на аудитах. vCenter 8.0 — наступний у цій черзі.

Які вимоги PCI DSS першими опиняються під ударом?

Коли платформа втрачає офіційну підтримку, в інфраструктурі CDE порушуються кілька критичних ліній захисту стандарту PCI DSS.
Вимога 12.3.4 — щорічний огляд застарілих технологій (EOL)
З 31 березня 2025 року ця вимога стандарту є обов'язковою: усі апаратні та програмні засоби в межах області аудиту мають щорічно перевірятися на предмет отримання оновлень безпеки від постачальника. Якщо vCenter 8.0 після жовтня 2027 більше не отримає офіційних виправлень — аудитор зафіксує порушення автоматично. При цьому стандарт вимагає наявності задокументованого і завчасного плану заміни рішень зі статусом EOL (End of Life — продуктів, підтримку яких виробник офіційно припинив).
Вимога 6.3.3 — патчування критичних вразливостей
PCI DSS зобов'язує усувати критичні та високорівневі ризики CVE (задокументовані вразливості системи) протягом одного місяця після виходу відповідного виправлення. Якщо платформа втрачає підтримку — безпекові релізи просто припиняються. 
Сканер вразливостей виявлятиме відкриті CVE, але усунути їх без офіційних оновлень буде неможливо. Для аудитора така ситуація стане однозначною підставою для фіксації невідповідності стандарту.
Розширення периметру захисту платіжних даних при переході на VCF
Якщо організація обирає шлях VCF або VVF, до стандартного набору компонентів — vCenter Server, ESXi, vSAN — обов'язково додається NSX. Це мережевий екран нового покоління на базі віртуалізації з підтримкою мікросегментації та фільтрації трафіку. 
Поява цього інструменту змінює межі середовища безпеки. Оскільки NSX керує потоками даних, він автоматично стає критичним елементом CDE, що впливає на ізоляцію платіжного сегмента від решти корпоративної мережі.

Два сценарії дій та їхні наслідки для безпеки

Перед кожною організацією, що використовує VMware у середовищі платіжних даних, постає вибір між двома сценаріями. Обидва потребують ресурсів і заздалегідь спланованої підготовки.
Сценарій А — залишитися з VMware, перейти на VCF або VVF
Організація укладає нову підписку, отримує доступ до vSphere 9 і продовжує роботу на платформі VMware. Але робота із забезпечення відповідності не закінчується підписанням контракту.
Усі нові компоненти в інфраструктурі мають пройти безпекове налаштування відповідно до вимог PCI DSS:
● суворі парольні політики;● вимкнення зайвих служб;● багатофакторну автентифікацію для адміністративного доступу;● інтеграцію з системою аудиту логів.
Команді доведеться з нуля створювати правила мікросегментації для NSX та інтегрувати його інтерфейси у загальну систему моніторингу безпеки компанії.
Окрім конфігурування, поява нових продуктів зумовлює і процедурні вимоги стандарту. Впровадження таких інструментів вважається суттєвою зміною інфраструктури з погляду PCI DSS, що автоматично ініціює проведення позачергового тестування на проникнення (пентесту) та сканування вразливостей. Разом із цим обов'язковому оновленню підлягають внутрішня нормативна документація, актуальні схеми мережі та карти потоків карткових даних.
Сценарій Б — відмова від VMware та міграція на іншу платформу
Якщо нові ліцензії VCF виходять за межі запланованого бюджету або організація вирішує переглянути архітектуру, альтернативою є перехід на Nutanix AHV, Microsoft Hyper-V, Proxmox VE чи Red Hat KVM. 
Цей шлях технічно та документально складніший:
1. Перебудова архітектури вимагає значного переписування документації PCI DSS, зокрема описів меж середовища, топологічних діаграм мережі, внутрішніх інструкцій та політик.2. Комплексне тестування на проникнення стає обов'язковим після міграції, щоб підтвердити, що нові механізми сегментації надійно ізолюють платіжні дані.3. Контроль часового розриву стає головним ризиком, адже не можна допустити тривалого переходу між демонтажем старої системи та введенням нового рішення у захищений стан, оскільки цей період аудитори зафіксують як порушення.

Чому підготовку технічного плану міграції потрібно розпочинати заздалегідь?

Рік і кілька місяців на перший погляд здаються комфортним запасом. Для інфраструктурних проєктів корпоративного рівня це короткий строк на реалізацію. Міграція середовища віртуалізації займає від 6 до 18 місяців залежно від розміру інфраструктури, кількості застосунків і складності мережевої топології. Якщо стартувати у третьому кварталі 2026 року, є ризик не завершити перехід вчасно.
Під час найближчої щорічної перевірки аудитор вже запитає про задокументований план дій щодо vCenter 8.0. Відсутність затвердженого графіка міграції на момент перевірки буде зафіксована як порушення. Ситуація з vSphere 7 — актуальний приклад. Його підтримка завершилася у жовтні 2025 року, і компанії, що відкладали рішення, вже отримують невідповідність вимогам на поточних аудитах. 

Підготовка до міграції та збереження відповідності з IT Specialist

Інцидент навколо VMware vCenter 8.0 — чітко визначений у часі виклик, що вимагає проактивних дій. Початок підготовки на цьому етапі гарантує, що всі захисні налаштування нових компонентів будуть виконані якісно та відповідно до стандартів безпеки.
Найбільш доцільний перший крок — діагностика поточного стану інфраструктури віртуалізації на відповідність вимогам PCI DSS. Команда IT Specialist супроводжує організації на всіх етапах: від аналізу ризиків і розробки плану переходу до безпечного налаштування нових інструментів і проведення обов'язкових технічних перевірок під час аудиту.
Щоб зробити перший крок та оцінити реальний стан ваших систем віртуалізації, залиште запит на проведення діагностики інфраструктури фахівцями IT Specialist.