Certification PCI DSS pour l'hébergement de données bancaires

Certification PCI DSS pour l'hébergement de données bancaires

Les données de cartes de paiement font l'objet d’une attention particulière à cause de leur caractère sensible et des nombreuses fraudes. La certification PCI DSS (Payment Card Industry Data Security Standard) niveau 1 assure aux organismes bancaires et aux utilisateurs de services en ligne un haut niveau de sécurité. Les acteurs manipulant ces données confidentielles répondent à des exigences de sécurité spécifiques définies par cette certification. Le référentiel est édité et maintenu par le PCI Council, un groupement professionnel de fournisseurs de cartes de paiement dont font partie Visa, Mastercard, American Express, JCB et Discovery. Ce standard de sécurité est l'un des plus exigeants en matière de protection de la confidentialité de l'information.

Nos produits certifiés PCI DSS

Notre offre Hosted Private Cloud Premier est certifiée PCI DSS 3.2 depuis 2015. Nos datacenters en France, au Canada, au Royaume-Uni, en Allemagne et en Pologne bénéficient de cette certification.

Sécurisation renforcée

Nous avons ajouté des mesures de sécurité additionnelles à nos solutions certifiées PCI DSS. Parmi elles, la validation par jeton (token) des actions critiques, les listes de contrôle d’accès (ACL) aux interfaces d'administration, les rapports sur les actions sensibles et les fonctions spécifiques de gestion des comptes.

Mise en conformité simplifiée

Votre infrastructure certifiée PCI DSS vous permet de vous mettre simplement en conformité avec les normes de sécurité en vigueur. OVHcloud vous accompagne dans vos démarches et met à votre disposition les documents nécessaires pour votre certification PCI DSS.

Les tarifs de nos produits certifiés PCI DSS

Packs Tarification au mois
PRE 48 (2 hôtes avec chacun 48 Go de RAM et 12 cœurs) 5 654,000 DT HT/mois
PRE 96 (2 hôtes avec chacun 96 Go de RAM et 12 cœurs) 7 490,000 DT HT/mois
PRE 192 (2 hôtes avec chacun 192 Go de RAM et 16 cœurs) 9 110,000 DT HT/mois
PRE 384 (2 hôtes avec chacun 384 Go de RAM et 32 cœurs) 13 976,000 DT HT/mois
PRE 768 (2 hôtes avec chacun 768 Go de RAM et 32 cœurs) 19 378,000 DT HT/mois
PRE vSAN 192 (3 hôtes avec chacun 192 Go de RAM et 40 cœurs) 20 891,000 DT HT/mois
PRE vSAN 384 (3 hôtes avec chacun 384 Go de RAM et 40 cœurs) 30 359,000 DT HT/mois
PRE vSAN 768 (3 hôtes avec chacun 768 Go de RAM et 40 cœurs) 44 552,000 DT HT/mois
Hôte Avec certification PCI-DSS
PRE 48 2 319,000 DT HT/mois
PRE 96 3 237,000 DT HT/mois
PRE 192 4 047,000 DT HT/mois
PRE 384 6 480,000 DT HT/mois
PRE 768 9 181,000 DT HT/mois
PRE vSAN 192 6 625,000 DT HT/mois
PRE vSAN 384 9 781,000 DT HT/mois
PRE vSAN 768 14 512,000 DT HT/mois
Datastore Tarification à l'heure Tarification au mois
3 To 1,260 DT HT/heure 451,000 DT HT/mois
6 To 2,560 DT HT/heure 840,000 DT HT/mois
9 To 3,210 DT HT/heure 1 164,000 DT HT/mois
18 To 6,450 DT HT/heure 2 332,000 DT HT/mois
36 To 12,940 DT HT/heure 4 634,000 DT HT/mois

Nos solutions d'hébergement de données bancaires certifiées PCI DSS

Besoin d'aide ou d'information ?

Vous pouvez demander qu'un conseiller OVHcloud vous rappelle gratuitement

PCI DSS

Qu'est-ce que la norme PCI DSS ?

PCI DSS est une source de référence pour les exigences de sécurité conçues pour assurer la confidentialité des cartes bancaires et des cartes de crédit lorsqu'elles sont utilisées dans les systèmes informatiques. La source de référence est éditée et maintenue par le PCI Council, une association professionnelle de sociétés émettrices de cartes de crédit qui comprend VISA, Mastercard, American Express, JCB et Discovery.

Toute banque qui émet des cartes à ses clients titulaires d'un compte bancaire, ou qui encaisse des transactions pour ses clients commerçants, est libre de fournir une définition contractuelle des exigences de sécurité auxquelles ses clients et partenaires doivent se conformer. La norme PCI DSS définit un niveau de sécurité commun qui couvre la plupart des besoins. La norme PCI DSS est devenue une référence en matière de sécurité des paiements électroniques, et la conformité à cette norme est devenue une exigence systématique pour les utilisateurs de systèmes de paiement en ligne. Chaque partie dans la chaîne d'hébergement du système de paiement en ligne a une part de responsabilité dans le contrôle de la sécurité globale de la plate-forme. Ces obligations sont contractuellement transférées par les marques de cartes à tous les acteurs impliqués dans la plate-forme de paiement électronique.

La norme PCI DSS énumère officiellement plus de 250 contrôles et fonctions de sécurité qui doivent être mis en place pour traiter les numéros de carte en toute sécurité. Ces contrôles sont divisés en six groupes :

  • Construire et maintenir un réseau et un système sécurisés

  • Protéger les données des titulaires de carte

  • Maintenir un programme de gestion de la vulnérabilité

  • Mettre en œuvre des mesures de contrôle d'accès strictes

  • Contrôler et tester régulièrement les réseaux

  • Maintenir une politique de sécurité de l'information

Comment être conforme à la norme PCI DSS

La conformité PCI DSS s'applique à l'ensemble de la plate-forme de paiement électronique et est respectée par le commerçant en s'appuyant sur les blocs de construction conformes PCI DSS qui appartiennent à son fournisseur de services. Cela signifie que chaque partie impliquée dans l'utilisation de la plate-forme se conforme aux exigences de la norme qui sont pertinentes pour ses activités, et démontre cette conformité à ses clients.

Dans le cadre de l'infrastructure de paiement PCI DSS d'OVHcloud, OVHcloud est responsable de la sécurité de l'infrastructure, tandis que vous restez responsable de la sécurité des machines virtuelles que nous hébergeons, de l'utilisation des fonctionnalités du réseau virtuel et des couches d'application déployées sur vos machines virtuelles. De cette façon, la conformité PCI DSS est un effort conjoint pour combiner les mesures de sécurité de votre logiciel et de votre plate-forme système avec celles de l'infrastructure de Private Cloud d'OVHcloud.

La conformité PCI DSS peut être certifiée par une attestation de conformité (AoC), établie après avoir rempli un questionnaire d'auto-évaluation, ou après avoir été auditée par une ou plusieurs sociétés QSA (Qualified Security Assessor).

La conformité de votre plateforme à la norme PCI DSS est un processus structuré, dont les caractéristiques et les obligations dépendent de plusieurs facteurs :

  •     le nombre de transactions effectuées annuellement ;
  •     type(s) de carte(s) bancaire(s) acceptée(s) ;
  •     banque(s) acquéreuse(s) ;
  •     complexité de l'infrastructure de paiement électronique.

Devenir conforme à la norme PCI DSS implique d'approcher les parties concernées, afin de comprendre leurs attentes précises. OVH vous recommande de contacter votre banque acquéreuse et/ou de contacter une société QSA pour vous aider dans ce processus.

La plate-forme OVH fait l'objet d'audits annuels par une société QSA. Les documents d'audit sont à votre disposition pour que vous puissiez les consulter :

  •     comprendre quelles sont les exigences couvertes par notre certification ;
  •     définissez les besoins que vous devez couvrir ;
  •     montrez à votre QSA que toutes les exigences applicables sont reconnues par OVHcloud et sont conformes à la norme PCI DSS.

OVHcloud peut également vous aider à devenir conforme, grâce au soutien de son équipe d'experts, ainsi qu'à la documentation qu'elle offre :

  •     la création d'une matrice d'affectation des responsabilités PCI DSS ;
  •     conditions particulières précisant les responsabilités d’OVHcloud ;
  •     un modèle de spécifications pour l'exécution des tests d'intrusion obligatoires.