Alojamiento de datos financieros con la certificación PCI DSS

Financial data hosting for PCI DSS certification

Alojamiento de datos financieros con la certificación PCI DSS

Si su organización —independientemente de su tamaño y su naturaleza— acepta pagos con tarjeta, deberá cumplir los requisitos de seguridad del PCI Security Standards Council. OVHcloud ha implementado las medidas de seguridad más avanzadas del sector, garantizando la máxima protección para sus infraestructuras de pago.

Conforme

Disfrute de una plataforma cloud técnica, conforme con la norma PCI DSS 3.2 para proveedores de servicios de pago (PSP) de nivel 1. Con más de 275 requisitos de cumplimiento y auditoría, la infraestructura de OVHcloud cumple con el estándar más exigente para soluciones de pago con tarjetas de crédito.

Especializado

Saque el máximo partido de su infraestructura Hosted Private Cloud, gestionada por OVHcloud, con recomendaciones y mejores prácticas para ayudarle en su proceso de certificación PCI DSS y proporcionarle todos los elementos de conformidad necesarios.

Seguro

Seleccione su configuración con nuestros packs SDDC de Hosted Private Cloud, y añada funciones especialmente diseñadas para cumplir con todos los requisitos PCI DSS en materia de control de acceso, trazabilidad y protección de datos, incluyendo la destrucción de hardware específico para el almacenamiento de datos.

Empiece ya a construir su infraestructura de pago seguro

Disfrute de los estándares de seguridad más elevados en sus servicios cloud gracias a la certificación PCI DSS.
Crezca tanto como necesite, con la máxima flexibilidad y la mejor relación rendimiento-precio.
Disponga de un mayor control de los accesos y de funciones de trazabilidad exclusivas.
Proteja su solución de pago contra el fraude.

Funcionamiento

Step 1 OVHcloud

Comience el proceso de certificación

La conformidad PCI DSS se aplica a toda la solución de pago basada en la infraestructura SDDC del Hosted Private Cloud de OVHcloud. OVHcloud se compromete a cumplir los requisitos operacionales de la norma PCI DSS relativos al hardware y a los elementos de software de las configuraciones. De este modo, al quedar claramente definido, se simplifica el proceso de certificación de su solución de pago.

Step 2 OVHcloud

Contrate su Hosted Private Cloud de OVHcloud

Active su solución SDDC de Hosted Private Cloud para PCI DSS y disfrute de inmediato de esta plataforma dotada de la tecnología de virtualización de VMware.

Step 3 OVHcloud

Luche contra el fraude manteniendo su solución actualizada

La solución Hosted Private Cloud ofrece una extenso conjunto de funcionalidades para supervisar y monitorizar el acceso fraudulento o acciones críticas en su plataforma, en tiempo real.

Nuestros partners

Principales características

Seguridad

Administre su lista de control de acceso (ACL) para disponer de control total y plena visibilidad de los usuarios con acceso a su infraestructura, y disfrute de una capa adicional de seguridad gracias a la expiración automática de las sesiones.

Monitorización

Utilice una serie de funciones avanzadas de supervisión, con procesos de validación basados en SMS o tokens para acciones críticas, junto con un análisis detallado del tráfico y el seguimiento de las acciones fraudulentas.

Notificación

Benefíciese de la elaboración de informes diarios exhaustivos para el acceso crítico y las acciones en su infraestructura, con una gestión detallada de usuarios y listas de administradores.

Trazabilidad

Get a specific traceability process for your entire infrastructure, with an end-of-life hardware destruction process.

Global Data Sentinel

Global Data Sentinel

«El paso al cloud computing conlleva el trasvase de una gran cantidad de datos desde infraestructuras on-premises al cloud. La combinación de las soluciones de Global Data Sentinel y OVHcloud garantiza que estos datos puedan gestionarse y auditarse de forma controlada una vez que abandonan las infraestructuras on-premises, ajustándose a los estándares más estrictos que exigen las nuevas reglamentaciones. El RGPD, por ejemplo, obliga a las empresas a asumir la responsabilidad no solo de su propia política de seguridad de datos, sino también de cualquier otra empresa que pueda acceder o procesar estos datos».

Mark Thompson, Head of Product Development de Global Data Sentinel
¿Necesita ayuda?
Si lo desea, uno de nuestros asesores puede llamarle de forma gratuita.

PCI DSS

¿En qué consiste la norma PCI DSS?

La norma PCI DSS engloba un conjunto de estándares de seguridad cuyo objetivo es garantizar la confidencialidad de los datos de las tarjetas bancarias en los sistemas de pago que los utilizan. El PCI Security Standards Council, una agrupación profesional formada por las compañías emisoras de tarjetas bancarias VISA, Mastercard, American Express, JCB y Discovery, es el organismo encargado de editar y actualizar este conjunto de normas.

Aunque cualquier entidad bancaria que emita tarjetas para sus clientes o que tramite las transacciones de los comerciantes con los que trabaja puede establecer libremente los requisitos contractuales que deben cumplir sus socios y clientes, la norma PCI DSS fija una serie de estándares básicos de seguridad común que abarcan la mayor parte de estos requisitos. Esta norma se ha convertido en la referencia en lo relativo a la seguridad de los sistemas informáticos de pago, y su cumplimiento, en una exigencia para los actores del sector. Cada actor involucrado en el alojamiento de los sistemas de pago es responsable de garantizar una parte de la seguridad de la plataforma.  Esta responsabilidad se transfiere de forma contractual desde las compañías emisoras de tarjetas bancarias al resto de actores de la plataforma de pago.

La norma PCI DSS incluye más de 250 puntos de control y medidas de seguridad para realizar un tratamiento totalmente seguro de los datos de las tarjetas de pago.

Estos puntos de control se clasifican en seis grupos:

  • Desarrollar y mantener redes y sistemas seguros

  • Proteger los datos del titular de la tarjeta

  • Mantener un programa de control de vulnerabilidades

  • Implementar medidas sólidas de control de acceso

  • Supervisar y evaluar las redes con regularidad

  • Mantener una política de seguridad de información

Cómo cumplir la norma PCI DSS

El cumplimiento de la norma PCI DSS es aplicable al conjunto de la plataforma de pago, incluido el comerciante, que deberá basarse en soluciones de proveedores conformes a la norma PCI DSS. Así pues, todos los actores que intervienen en la plataforma de pago deben respetar los requisitos de seguridad relevantes para su actividad y demostrar a sus clientes que cumplen el estándar PCI DSS.

En lo relativo a la solución Payment Infrastructure, OVHcloud es responsable de la seguridad de la infraestructura, mientras que el cliente es responsable de la seguridad de las máquinas virtuales alojadas, la utilización de las funciones de redes virtuales y las capas de aplicación desplegadas en las máquinas virtuales. La conformidad PCI DSS es, por lo tanto, un esfuerzo conjunto que requiere combinar las medidas de seguridad de su plataforma y de su sistema con las de la infraestructura Private Cloud de OVHcloud.

El cumplimiento de la norma PCI DSS se certifica a través de una declaración de cumplimiento (AOC) que se expide una vez realizado un cuestionario de autoevaluación (SAQ) o una auditoría por uno o varios asesores de seguridad certificados (QSA).

La conformidad PCI DSS de su plataforma es un procedimiento estructurado, cuyas características y obligaciones dependen de diversos factores:

  • Número de transacciones anuales
  • Tipo de tarjeta bancaria aceptada
  • Banco adquiriente
  • Complejidad de la infraestructura de pago

Para abordar el cumplimiento del estándar PCI DSS, es necesario entablar un diálogo con los actores implicados para conocer sus requerimientos concretos. OVHcloud recomienda a sus clientes que se pongan en contacto con su banco adquiriente o con un asesor de seguridad certificado (QSA) que pueda guiarle durante el proceso.

La plataforma de OVHcloud es auditada anualmente por un QSA, y ponemos a su disposición los documentos de la evaluación, que permiten:

  • conocer qué requisitos cubre nuestra certificación;
  • determinar qué requisitos deberá cumplir su empresa;
  • demostrar ante su QSA que OVHcloud cumple todos los requisitos necesarios conforme a la norma PCI DSS.

Además, OVHcloud pone a su disposición a su equipo de expertos, así como la documentación necesaria para que pueda obtener la conformidad PCI DSS:

  • matriz de responsabilidades PCI DSS;
  • condiciones particulares en las que se detalle la responsabilidad de OVH;
  • modelo de pliego de condiciones para la realización de las pruebas de penetración obligatorias.