PCI DSS

Certification PCI DSS pour l'hébergement de données bancaires

PCI DSS-Zertifizierung für das Hosting von Bankdaten

Zahlungskartendaten wird besondere Beachtung geschenkt, da sie kritischer Natur sind und sich bereits etliche Betrugsfälle ereignet haben. Die Zertifizierung nach PCI DSS (Payment Card Industry Data Security Standard) Level 1 garantiert Bankeinrichtungen und Nutzer:innen von Onlinediensten ein hohes Maß an Sicherheit. Wer diese vertraulichen Daten verarbeitet, erfüllt die besonderen Sicherheitsanforderungen dieser Zertifizierung. Die Referenzdokumentation wird vom PCI Council herausgegeben und aktualisiert. Dies ist ein Zusammenschluss von Anbietern von Zahlungskarten, darunter Visa, Mastercard, American Express, JCB und Discovery. Dieser Sicherheitsstandard ist einer der höchsten für den Schutz vertraulicher Informationen.

PCI Security Standards Council
Unsere PCI DSS zertifizierten Produkte

Unser Angebot „Hosted Private Cloud SDDC“ hat seit 2015 eine PCI DSS 3.2 Zertifizierung. Diese Zertifizierung gilt für unsere Rechenzentren in Frankreich, Kanada, im Vereinigten Königreich, in Deutschland und Polen.

Verstärkte Sicherung

Wir haben unseren PCI DSS-zertifizierten Lösungen weitere Sicherheitsmaßnahmen hinzugefügt. Darunter sind auch die Validierung per Token für kritische Arbeitsschritte,Zugriffskontrolllisten (ACL) für administrative Schnittstellen, Berichte über kritische Maßnahmen und spezifischeFunktionen der Kontenverwaltung.

Vereinfachte Sicherstellung der Konformität

Mit Ihrer PCI DSS-zertifizierten Infrastruktur können Sie mühelos die Konformität mit geltenden Sicherheitsnormen herstellen. OVHcloud unterstützt Sie bei den einzelnen Schritten und stellt Ihnen die notwendigen Dokumente für Ihre Zertifizierung durch PCI DSS zur Verfügung.

PCI DSS-Preise

Die Preise unserer PCI DSS-zertifizierten Produkte einsehen

Unsere Hosting-Lösungen für Bankdaten mit PCI DSS-Zertifizierung

Finanzdienstleistungen
Unsere Lösungen für Finanzdienstleister
Sie benötigen Hilfe oder weitere Informationen?

Ein Berater von OVHcloud ruft Sie kostenlos zurück.

Kontaktieren Sie uns

PCI DSS

Was ist der PCI DSS-Standard?

Der PCI DSS ist eine Referenz für Sicherheitsanforderungen, die darauf ausgelegt sind, die Vertraulichkeit von Bankkarten und Kreditkarten zu gewährleisten, wenn diese in IT-Systemen verwendet werden. Die Referenzquelle wird vom PCI Council, einem Branchenverband von Kreditkartenunternehmen, der VISA, Mastercard, American Express, JCB und Discovery umfasst, erstellt und gepflegt.

Jede Bank, die Karten an Kund:innen mit einem Bankkonto ausgibt oder Transaktionen für ihre Geschäftskunden entgegennimmt, kann eine vertragliche Definition der Sicherheitsanforderungen vorlegen, die ihre Kund:innen und Partner erfüllen müssen. Der PCI DSS-Standard definiert ein gemeinsames Sicherheitsniveau, das die meisten Anforderungen abdeckt. PCI DSS hat sich zu einer Referenz für die Sicherheit elektronischer Zahlungen entwickelt und die Einhaltung dieses Standards ist zu einer systematischen Anforderung für Nutzer:innen von Online-Zahlungssystemen geworden. Jede Partei in der Hosting-Kette des Online-Zahlungssystems trägt eine Mitverantwortung für die Kontrolle der globalen Sicherheit der Plattform. Diese Verpflichtungen werden vertraglich von den Kartenmarken auf alle an der elektronischen Zahlungsplattform beteiligten Akteure übertragen.

Der PCI DSS-Standard umfasst offiziell mehr als 250 Kontrollen und Sicherheitsfunktionen, die implementiert werden müssen, um Kartendaten sicher zu verarbeiten. Diese Kontrollen werden in sechs Gruppen unterteilt:

  • Aufbau und Aufrechterhaltung eines gesicherten Netzwerks und Systems

  • Schutz der Daten von Karteninhabern

  • Verwendung eines Programms zur Verwaltung von Sicherheitslücken

  • Implementierung strikter Maßnahmen zur Zugriffskontrolle

  • Regelmäßiges Überwachen und Testen der Netzwerke

  • Einhaltung einer Informationssicherheitsrichtlinie

Compliance mit PCI DSS sicherstellen

Die PCI DSS-Compliance gilt für die gesamte Plattform für elektronische Zahlungen und wird vom Händler sichergestellt, indem er die PCI DSS-konformen Bausteine seines Dienstleisters verwendet. Das bedeutet, dass jede an der Nutzung der Plattform beteiligte Partei die für ihre Tätigkeiten relevanten Anforderungen des Standards erfüllt und diese Konformität ihren Kund:innen nachweist.

Im Rahmen der PCI DSS-Zahlungsinfrastruktur von OVHcloud ist OVHcloud für die Sicherheit der Infrastruktur verantwortlich, während Sie für die Sicherheit der von uns gehosteten virtuellen Maschinen, die Nutzung der Funktionen des virtuellen Netzwerks und die Anwendungsschichten auf Ihren virtuellen Maschinen verantwortlich bleiben. Die PCI DSS-Compliance ist also eine gemeinsame Aufgabe, um die Sicherheitsmaßnahmen Ihrer Software und Ihrer Systemplattform mit denen der Private-Cloud-Infrastruktur von OVHcloud zu kombinieren.

Die Compliance mit PCI DSS kann mit einer Compliance-Bestätigung (Attestation of Compliance oder AoC) zertifiziert werden, die entweder über einen Selbstbeurteilungsfragebogen oder per Audit durch ein oder mehrere QSA-Unternehmen (Qualified Security Assessor) durchgeführt wird.

Der PCI DSS-Compliance-Prozess Ihrer Plattform folgt einem strukturierten Ablauf, dessen genaue Eigenschaften und Anforderungen von mehreren Faktoren abhängen:

  •     Anzahl der jährlichen Transaktionen
  •     Typ(en) von akzeptierten Bankkarte(n)
  •     Acquirer Bank(en)
  •     Komplexität der elektronischen Zahlungsinfrastruktur

PCI DSS-konform zu werden, bedeutet, sich an die Beteiligten zu wenden, um deren genaue Erwartungen zu verstehen. OVHcloud empfiehlt Ihnen, Ihre Acquirer-Bank und/oder ein QSA-Unternehmen zu kontaktieren, um Sie bei diesem Vorgang zu unterstützen.

Die OVHcloud Plattform wird jährlich von einem QSA-Unternehmen überprüft. Die Audit-Dokumente stehen Ihnen zur Verfügung, damit Sie diese einsehen und:

  •     sich ein Bild davon machen können, welche Anforderungen durch unsere Zertifizierung erfüllt werden.
  •     die Anforderungen definieren können, die erfüllt werden müssen.
  •     Sie Ihrem QSA zeigen können, dass OVHcloud allen anwendbaren Anforderungen Rechnung trägt und sie dem PCI DSS-Standard entsprechen.

OVHcloud kann Ihnen mit seinem Expertenteam und der bereitgestellten Dokumentation ebenfalls dabei helfen, Compliance zu erreichen:

  •     Erstellung einer PCI DSS-Verantwortungsmatrix
  •     Besondere Vertragsbedingungen mit Details zum Verantwortungsbereich von OVHcloud
  •     Spezifikationsbeispiel für die Durchführung der obligatorischen Penetrationstests