Certification PCI DSS pour l'hébergement de données bancaires
Les données de cartes de paiement font l'objet d’une attention particulière à cause de leur caractère sensible et des nombreuses fraudes. La certification PCI DSS (Payment Card Industry Data Security Standard) niveau 1 assure aux organismes bancaires et aux utilisateurs de services en ligne un haut niveau de sécurité. Les acteurs manipulant ces données confidentielles répondent à des exigences de sécurité spécifiques définies par cette certification. Le référentiel est édité et maintenu par le PCI Council, un groupement professionnel de fournisseurs de cartes de paiement dont font partie Visa, Mastercard, American Express, JCB et Discovery. Ce standard de sécurité est l'un des plus exigeants en matière de protection de la confidentialité de l'information.
Notre offre Hosted Private Cloud Premier est certifiée PCI DSS 3.2 depuis 2015. Nos datacenters en France, au Canada, au Royaume-Uni, en Allemagne et en Pologne bénéficient de cette certification.
Nous avons ajouté des mesures de sécurité additionnelles à nos solutions certifiées PCI DSS. Parmi elles, la validation par jeton (token) des actions critiques, les listes de contrôle d’accès (ACL) aux interfaces d'administration, les rapports sur les actions sensibles et les fonctions spécifiques de gestion des comptes.
Votre infrastructure certifiée PCI DSS vous permet de vous mettre simplement en conformité avec les normes de sécurité en vigueur. OVHcloud vous accompagne dans vos démarches et met à votre disposition les documents nécessaires pour votre certification PCI DSS.
Les tarifs de nos produits certifiés PCI DSS
Nos packs Premier PCI-DSS
| Packs | Tarification au mois |
|---|---|
| PRE 48 (2 hôtes avec chacun 48 Go de RAM et 12 cœurs) | 6 700 DT HT/mois |
| PRE 96 (2 hôtes avec chacun 96 Go de RAM et 12 cœurs) | 8 700 DT HT/mois |
| PRE 192 (2 hôtes avec chacun 192 Go de RAM et 16 cœurs) | 10 500 DT HT/mois |
| PRE 384 (2 hôtes avec chacun 384 Go de RAM et 32 cœurs) | 15 700 DT HT/mois |
| PRE 768 (2 hôtes avec chacun 768 Go de RAM et 32 cœurs) | 21 700 DT HT/mois |
| PRE vSAN 192 (3 hôtes avec chacun 192 Go de RAM et 40 cœurs) | 23 390 DT HT/mois |
| PRE vSAN 384 (3 hôtes avec chacun 384 Go de RAM et 40 cœurs) | 33 890 DT HT/mois |
| PRE vSAN 768 (3 hôtes avec chacun 768 Go de RAM et 40 cœurs) | 49 490 DT HT/mois |
Nos hôtes Premier PCI-DSS additionnels
| Hôte | Avec certification PCI-DSS |
|---|---|
| PRE 48 | 2 590 DT HT/mois |
| PRE 96 | 3 590 DT HT/mois |
| PRE 192 | 4 490 DT HT/mois |
| PRE 384 | 7 090 DT HT/mois |
| PRE 768 | 10 090 DT HT/mois |
| PRE vSAN 192 | 7 290 DT HT/mois |
| PRE vSAN 384 | 10 790 DT HT/mois |
| PRE vSAN 768 | 15 990 DT HT/mois |
Nos datastores Premier additionnels
| Datastore | Tarification à l'heure | Tarification au mois |
|---|---|---|
| 3 To | 1,26 DT HT/heure | 510 DT HT/mois |
| 6 To | 2,56 DT HT/heure | 930 DT HT/mois |
| 9 To | 3,21 DT HT/heure | 1 290 DT HT/mois |
| 18 To | 6,45 DT HT/heure | 2 590 DT HT/mois |
| 36 To | 12,94 DT HT/heure | 5 090 DT HT/mois |
Nos solutions d'hébergement de données bancaires certifiées PCI DSS
Demandez qu’un conseiller OVHcloud vous rappelle gratuitement
PCI DSS
Qu'est-ce que la norme PCI DSS ?
PCI DSS est une source de référence pour les exigences de sécurité conçues pour assurer la confidentialité des cartes bancaires et des cartes de crédit lorsqu'elles sont utilisées dans les systèmes informatiques. La source de référence est éditée et maintenue par le PCI Council, une association professionnelle de sociétés émettrices de cartes de crédit qui comprend VISA, Mastercard, American Express, JCB et Discovery.
Toute banque qui émet des cartes à ses clients titulaires d'un compte bancaire, ou qui encaisse des transactions pour ses clients commerçants, est libre de fournir une définition contractuelle des exigences de sécurité auxquelles ses clients et partenaires doivent se conformer. La norme PCI DSS définit un niveau de sécurité commun qui couvre la plupart des besoins. La norme PCI DSS est devenue une référence en matière de sécurité des paiements électroniques, et la conformité à cette norme est devenue une exigence systématique pour les utilisateurs de systèmes de paiement en ligne. Chaque partie dans la chaîne d'hébergement du système de paiement en ligne a une part de responsabilité dans le contrôle de la sécurité globale de la plate-forme. Ces obligations sont contractuellement transférées par les marques de cartes à tous les acteurs impliqués dans la plate-forme de paiement électronique.
La norme PCI DSS énumère officiellement plus de 250 contrôles et fonctions de sécurité qui doivent être mis en place pour traiter les numéros de carte en toute sécurité. Ces contrôles sont divisés en six groupes :
-
Construire et maintenir un réseau et un système sécurisés
-
Protéger les données des titulaires de carte
-
Maintenir un programme de gestion de la vulnérabilité
-
Mettre en œuvre des mesures de contrôle d'accès strictes
-
Contrôler et tester régulièrement les réseaux
-
Maintenir une politique de sécurité de l'information
Comment être conforme à la norme PCI DSS
La conformité PCI DSS s'applique à l'ensemble de la plate-forme de paiement électronique et est respectée par le commerçant en s'appuyant sur les blocs de construction conformes PCI DSS qui appartiennent à son fournisseur de services. Cela signifie que chaque partie impliquée dans l'utilisation de la plate-forme se conforme aux exigences de la norme qui sont pertinentes pour ses activités, et démontre cette conformité à ses clients.
Dans le cadre de l'infrastructure de paiement PCI DSS d'OVHcloud, OVHcloud est responsable de la sécurité de l'infrastructure, tandis que vous restez responsable de la sécurité des machines virtuelles que nous hébergeons, de l'utilisation des fonctionnalités du réseau virtuel et des couches d'application déployées sur vos machines virtuelles. De cette façon, la conformité PCI DSS est un effort conjoint pour combiner les mesures de sécurité de votre logiciel et de votre plate-forme système avec celles de l'infrastructure de Private Cloud d'OVHcloud.
La conformité PCI DSS peut être certifiée par une attestation de conformité (AoC), établie après avoir rempli un questionnaire d'auto-évaluation, ou après avoir été auditée par une ou plusieurs sociétés QSA (Qualified Security Assessor).
La conformité de votre plateforme à la norme PCI DSS est un processus structuré, dont les caractéristiques et les obligations dépendent de plusieurs facteurs :
- le nombre de transactions effectuées annuellement ;
- type(s) de carte(s) bancaire(s) acceptée(s) ;
- banque(s) acquéreuse(s) ;
- complexité de l'infrastructure de paiement électronique.
Devenir conforme à la norme PCI DSS implique d'approcher les parties concernées, afin de comprendre leurs attentes précises. OVH vous recommande de contacter votre banque acquéreuse et/ou de contacter une société QSA pour vous aider dans ce processus.
La plate-forme OVH fait l'objet d'audits annuels par une société QSA. Les documents d'audit sont à votre disposition pour que vous puissiez les consulter :
- comprendre quelles sont les exigences couvertes par notre certification ;
- définissez les besoins que vous devez couvrir ;
- montrez à votre QSA que toutes les exigences applicables sont reconnues par OVHcloud et sont conformes à la norme PCI DSS.
OVHcloud peut également vous aider à devenir conforme, grâce au soutien de son équipe d'experts, ainsi qu'à la documentation qu'elle offre :
- la création d'une matrice d'affectation des responsabilités PCI DSS ;
- conditions particulières précisant les responsabilités d’OVHcloud ;
- un modèle de spécifications pour l'exécution des tests d'intrusion obligatoires.