Alojamiento de datos financieros con la certificación PCI DSS

Alojamiento de datos financieros con la certificación PCI DSS

Alojamiento de datos financieros con la certificación PCI DSS

Si su organización, independientemente de su tamaño, acepta pagos con tarjeta, debe cumplir los requisitos de seguridad del PCI Security Standards Council. OVHcloud ha implementado las medidas de seguridad más avanzadas del sector, garantizando la máxima protección para sus infraestructuras de pago. Puede alojar sus soluciones en cualquiera de nuestros datacenters con la certificación PCI DSS y desplegar una infraestructura cloud segura y de alta disponibilidad para sus pagos online. Así podrá ofrecer a sus clientes la garantía de que sus datos financieros están a salvo en todo momento.

Conformidad

Disfrute de una plataforma cloud conforme con la norma PCI DSS 3.2 para proveedores de servicios de pago (PSP) de nivel 1. Con más de 275 requisitos de cumplimiento y auditoría, la infraestructura de OVHcloud cumple con el estándar más exigente para soluciones de pago con tarjeta de crédito.

Especialización

Saque el máximo partido de su infraestructura Hosted Private Cloud. Nosotros le acompañamos a lo largo del proceso de certificación PCI DSS. 

Seguridad

Seleccione su configuración entre nuestros packs SDDC de Hosted Private Cloud, y añada funcionalidades especialmente diseñadas para cumplir con todos los requisitos de PCI DSS en materia de control de accesos, trazabilidad y protección de datos, incluyendo, entre otros, la destrucción de hardware utilizado para el almacenamiento de datos.

Empiece a construir su infraestructura de pago seguro

Disfrute de los estándares de seguridad más elevados en sus servicios cloud gracias a la certificación PCI DSS.
Crezca tanto como necesite, con la máxima flexibilidad y la mejor relación rendimiento-precio.
Disponga de un mayor control de los accesos y de funciones de trazabilidad exclusivas.
Proteja su solución de pago contra el fraude.

Funcionamiento

Step 1 OVHcloud

Comience el proceso de certificación

La conformidad PCI DSS se aplica a toda la solución de pago basada en la infraestructura SDDC del Hosted Private Cloud de OVHcloud. Todas las funciones y responsabilidades relativas a la conformidad están claramente detalladas en una matriz. De manera general, OVHcloud se compromete a cumplir los requisitos operacionales de la norma PCI DSS relativos al hardware y a los elementos de software de las configuraciones. De este modo, al quedar claramente definido, se simplifica el proceso de certificación de su solución de pago.

Step 2 OVHcloud

Despliegue su Hosted Private Cloud de OVHcloud

Active su pack SDDC conforme con PCI DSS y disfrute de inmediato de esta plataforma provista de la tecnología de virtualización de VMware. Una vez que haya desplegado su solución de pago, podrá escalar su infraestructura cuando lo necesite, con múltiples opciones de red, procesamiento y almacenamiento. A medida que vaya creciendo, gracias a la replicación y la alta disponibilidad en diferentes regiones podrá realizar despliegues a mayor escala.

Step 3 OVHcloud

Prevenga el fraude manteniendo su solución actualizada

El fraude con datos de tarjetas de crédito es bastante frecuente. Para prevenirlo, las entidades que trabajan con sistemas de pago tienen requisitos de seguridad, monitorización y reporting muy específicos. En este sentido, la solución Hosted Private Cloud ofrece diversas funcionalidades para supervisar y monitorizar en tiempo real los accesos fraudulentos o acciones críticas en su plataforma. Así podra asegurarse de que los datos financieros de sus clientes estén siempre 100% seguros.

Nuestros partners

Principales características

Seguro

Administre su lista de control de acceso (ACL) para disponer de control total y plena visibilidad de los usuarios con acceso a su infraestructura, y disfrute de una capa adicional de seguridad gracias a la expiración automática de las sesiones.

Monitorizado

Utilice diferentes funcionalidades de monitorización, incluyendo procedimientos de validación mediante SMS o token para acciones críticas, así como análisis detallados de tráfico y detección de acciones fraudulentas.

Con notificaciones

Disfrute de exhaustivos informes diarios sobre los accesos y las acciones críticas en su infraestructura, con una gestión detallada de las listas de usuarios y administradores.

Trazable

Establezca un proceso específico de trazabilidad en su infraestructura, con protocolos de destrucción del hardware al final de su vida útil.

Global Data Sentinel

Global Data Sentinel

«El paso al cloud computing conlleva el trasvase de una gran cantidad de datos desde infraestructuras on-premises al cloud. La combinación de las soluciones de Global Data Sentinel y OVHcloud garantiza que estos datos puedan gestionarse y auditarse de forma controlada una vez que abandonan las infraestructuras on-premises, ajustándose a los estándares más estrictos que exigen las nuevas reglamentaciones. El RGPD, por ejemplo, obliga a las empresas a asumir la responsabilidad no solo de su propia política de seguridad de datos, sino también de cualquier otra empresa que pueda acceder o procesar estos datos».

Mark Thompson, Head of Product Development de Global Data Sentinel
¿Necesita ayuda?
Si lo desea, uno de nuestros asesores puede llamarle de forma gratuita.

PCI DSS

¿Qué es la norma PCI DSS?

La norma PCI DSS engloba un conjunto de estándares de seguridad cuyo objetivo es garantizar la confidencialidad de los datos de las tarjetas bancarias en los sistemas de pago que los utilizan. El PCI Security Standards Council, una agrupación profesional formada por las compañías emisoras de tarjetas bancarias VISA, Mastercard, American Express, JCB y Discovery, es el organismo encargado de editar y actualizar este conjunto de normas.

Aunque cualquier entidad bancaria que emita tarjetas para sus clientes o que tramite las transacciones de los comerciantes con los que trabaja puede establecer libremente los requisitos contractuales que deben cumplir sus socios y clientes, la norma PCI DSS fija una serie de estándares básicos de seguridad que abarcan la gran mayoría de estos requisitos. Esta norma se ha convertido en la referencia de la seguridad de los sistemas informáticos de pago, y su cumplimiento, en una exigencia para los actores del sector. Cada actor involucrado en el alojamiento de un sistema de pago es responsable de garantizar una parte de la seguridad de la plataforma. Esta responsabilidad se transfiere de forma contractual desde las compañías emisoras de tarjetas bancarias al resto de actores de la plataforma de pago.

La norma PCI DSS incluye más de 250 puntos de control y medidas de protección necesarias para garantizar que el tratamiento de los datos de las tarjetas de pago es seguro. Estos puntos de control se clasifican en seis grupos:

  • Desarrollar y mantener sistemas y redes seguros

  • Proteger los datos del titular de la tarjeta

  • Mantener un programa de gestión de las vulnerabilidades

  • Implementar medidas sólidas de control de los accesos

  • Supervisar y evaluar las redes con regularidad

  • Mantener una política de seguridad de información

Cómo adecuarse a la norma PCI DSS

El cumplimiento de la norma PCI DSS es aplicable al conjunto de la plataforma de pago, incluido el comerciante, que deberá basarse en soluciones de proveedores conformes a la norma PCI DSS. Así pues, todos los actores que intervienen en la plataforma de pago deben respetar los requisitos de seguridad relevantes para su actividad y demostrar a sus clientes que cumplen el estándar PCI DSS.

En lo que respecta a la solución Payment Infrastructure, OVHcloud es responsable de la seguridad de la infraestructura, mientras que el cliente es responsable de la seguridad de las máquinas virtuales alojadas, la utilización de las funciones de redes virtuales y las capas de aplicación desplegadas en las máquinas virtuales. La conformidad PCI DSS es, pues, un esfuerzo conjunto que requiere combinar las medidas de seguridad de su plataforma y de su sistema con las de la infraestructura Private Cloud de OVHcloud.

El cumplimiento de la norma PCI DSS se certifica a través de una declaración de cumplimiento (AOC) que se expide una vez realizado un cuestionario de autoevaluación (SAQ) o una auditoría por uno o varios asesores de seguridad certificados (QSA).

La conformidad PCI DSS de su plataforma es un procedimiento estructurado, cuyas características y obligaciones dependen de diversos factores:

  • Número de transacciones anuales
  • Tipo de tarjetas bancarias aceptadas
  • Banco adquiriente
  • Complejidad de la infraestructura de pago

Para abordar el cumplimiento del estándar PCI DSS, es necesario entablar un diálogo con los actores implicados para conocer sus requerimientos concretos. OVHcloud recomienda a sus clientes que se pongan en contacto con su banco adquiriente o con un asesor de seguridad certificado (QSA) que pueda guiarle durante el proceso.

La plataforma de OVHcloud es auditada anualmente por un QSA, y ponemos a su disposición los documentos de la evaluación, que le permiten:

  • conocer qué requisitos cubre nuestra certificación;
  • determinar qué requisitos deberá cumplir su empresa;
  • demostrar ante su QSA que OVHcloud cumple todos los requisitos necesarios conforme a la norma PCI DSS.

Además, para ayudarle a obtener la conformidad PCI DSS, OVHcloud pone a su disposición un equipo de expertos, así como la siguiente documentación:

  • matriz de responsabilidades PCI DSS;
  • condiciones particulares en las que se detalla la responsabilidad de OVH;
  • modelo de pliego de condiciones para la realización de las pruebas de penetración obligatorias.