Hébergement des données financières pour la certification PCI DSS

Financial data hosting for PCI DSS certification

Hébergement des données financières pour la certification PCI DSS

Quelle que soit la taille de votre entreprise, si vous acceptez les paiements par carte de crédit, vous devez être entièrement conforme aux normes PCI Security Council. Garantissez la sécurité de votre solution de paiement et veillez à ce que vos clients fassent confiance à la sécurité de leurs données financières. OVHcloud a mis en place les mesures de sécurité les plus avancées de l'industrie, assurant le plus haut niveau de sécurité pour vos infrastructures de paiement. Choisissez parmi les différents datacenters OVHcloud qui ont obtenu la certification PCI DSS et déployez sans effort l'infrastructure cloud idéale pour vos flux de paiement en ligne.

Conformité

Bénéficiez d'une plateforme cloud conforme à la norme PCI DSS 3.2 pour les prestataires de services de paiement (PSP) de niveau 1. Avec plus de 275 exigences de conformité auditées, l'infrastructure d'OVHcloud répond aux normes les plus exigeantes des solutions de paiement par carte bancaire.

Expertise

Tirez le meilleur parti de votre infrastructure Private Cloud, managée par OVHcloud, avec des recommandations clés et des bonnes pratiques pour vous aider dans le processus de certification PCI DSS. Vous aurez également à votre disposition toutes les preuves de conformité nécessaires.

Sécurité

Choisissez votre configuration, avec nos packs Private Cloud SDDC. Vous pouvez ajouter des fonctionnalités répondant à toutes les exigences PCI DSS, pour le contrôle d'accès, la traçabilité et la protection des données. Cela inclut la destruction du matériel destiné au stockage des informations.

Commencez dès maintenant à construire votre infrastructure de paiement en toute sécurité

Les normes de sécurité les plus exigeantes, avec des services cloud certifiés PCI DSS
Développez votre activité avec la flexibilité nécessaire et le meilleur ratio performance-prix.
Bénéficiez d'un contrôle d'accès étendu et de fonctions de traçabilité uniques
Sécurisez votre solution de paiement contre la fraude

Comment ça marche

Step 1 OVHcloud

Démarrez votre processus de certification

La conformité PCI DSS s'applique à l'ensemble de la solution de paiement et est basée sur l'infrastructure SDDC Hosted Private Cloud d'OVHcloud. Les rôles et responsabilités de votre organisation sont clairement définis dans une matrice d'exigences, avec une propriété partagée des exigences de conformité. OVH s'engage à respecter les exigences opérationnelles de la norme PCI DSS pour tous les équipements physiques et les éléments logiciels des configurations. Votre processus de certification est facilité et clairement défini, en fonction des spécificités de la solution de paiement que vous devez certifier.

Step 2 OVHcloud

Abonnez-vous à votre solution Hosted Private Cloud d'OVHcloud

Activez votre solution SDDC Hosted Private Cloud pour PCI DSS et commencez à utiliser la plate-forme immédiatement, avec la virtualisation vSphere de VMware. Votre application de paiement est déployée dans le cloud, avec la liberté d'évoluer et d'accéder à de multiples options pour le réseau, le calcul et le stockage, tandis que la réplication et la haute disponibilité dans différentes régions permettront des déploiements à plus grande échelle à mesure que vous évoluerez.

Step 3 OVHcloud

Luttez contre la fraude et maintenez votre solution à jour

Les fraudes impliquant des données de cartes de paiement sont très fréquentes, de sorte que les responsables informatiques des systèmes de paiement ont des exigences de sécurité très strictes et des besoins spécifiques en termes de reporting et de surveillance. C'est pourquoi votre Hosted Private Cloud offre un ensemble complet de fonctionnalités pour suivre et surveiller les accès frauduleux ou les actions critiques sur votre plate-forme en temps réel. Garantissez la sécurité des données financières de vos clients, quelles que soient les circonstances.

Nos partenaires

Fonctionnalités clés

Sécurité

Gérez votre liste de contrôle d'accès (ACL), pour conserver un contrôle et une visibilité complets sur les personnes ayant accès à votre infrastructure, avec des délais de session automatisés pour un niveau de sécurité supplémentaire.

Monitoring

Profitez d’une gamme de fonctions de monitoring avancées, avec des processus de validation par SMS ou jetons pour les actions critiques. Vous disposez également d'une analyse détaillée du trafic, ainsi que d’un suivi des actions frauduleuses.

Reporting

Bénéficiez d'un reporting quotidien complet des accès et actions critiques sur votre infrastructure, avec une gestion détaillée des listes d'utilisateurs et d'administrateurs.

Traçabilité

Bénéficiez d'un système de traçabilité spécifique pour l'ensemble de votre infrastructure, avec un processus de destruction du matériel en fin de vie.

Global Data Sentinel

Global Data Sentinel

« Le passage au cloud a eu pour conséquence la migration de grandes quantités de données on-premises. Les solutions de Global Data Sentinel et d’OVHcloud, utilisées ensemble, permettent de s’assurer que les données sont toujours étroitement administrées et auditées lorsqu’elles quittent votre site. Elles respectent même les normes élevées qu’exigeront les prochaines législations. Le RGPD, par exemple, tient les organisations responsables non seulement de la sécurité de leurs propres données, mais aussi de ce qui peut arriver à ces informations lorsqu’un tiers y accède ou les traite. »

Mark Thompson, Responsable développement produit de Global Data Sentinel
Besoin d'aide ou d'information ?
Vous pouvez demander qu'un conseiller OVHcloud vous rappelle gratuitement

PCI DSS

Qu'est-ce que la norme PCI DSS ?

PCI DSS est une source de référence pour les exigences de sécurité conçues pour assurer la confidentialité des cartes bancaires et des cartes de crédit lorsqu'elles sont utilisées dans les systèmes informatiques. La source de référence est éditée et maintenue par le PCI Council, une association professionnelle de sociétés émettrices de cartes de crédit qui comprend VISA, Mastercard, American Express, JCB et Discovery.

Toute banque qui émet des cartes à ses clients titulaires d'un compte bancaire, ou qui encaisse des transactions pour ses clients commerçants, est libre de fournir une définition contractuelle des exigences de sécurité auxquelles ses clients et partenaires doivent se conformer. La norme PCI DSS définit un niveau de sécurité commun qui couvre la plupart des besoins. La norme PCI DSS est devenue une référence en matière de sécurité des paiements électroniques, et la conformité à cette norme est devenue une exigence systématique pour les utilisateurs de systèmes de paiement en ligne. Chaque partie dans la chaîne d'hébergement du système de paiement en ligne a une part de responsabilité dans le contrôle de la sécurité globale de la plate-forme. Ces obligations sont contractuellement transférées par les marques de cartes à tous les acteurs impliqués dans la plate-forme de paiement électronique.

La norme PCI DSS énumère officiellement plus de 250 contrôles et fonctions de sécurité qui doivent être mis en place pour traiter les numéros de carte en toute sécurité. Ces contrôles sont divisés en six groupes :

  • Construire et maintenir un réseau et un système sécurisés

  • Protéger les données des titulaires de carte

  • Maintenir un programme de gestion de la vulnérabilité

  • Mettre en œuvre des mesures de contrôle d'accès strictes

  • Contrôler et tester régulièrement les réseaux

  • Maintenir une politique de sécurité de l'information

Comment être conforme à la norme PCI DSS

La conformité PCI DSS s'applique à l'ensemble de la plate-forme de paiement électronique et est respectée par le commerçant en s'appuyant sur les blocs de construction conformes PCI DSS qui appartiennent à son fournisseur de services. Cela signifie que chaque partie impliquée dans l'utilisation de la plate-forme se conforme aux exigences de la norme qui sont pertinentes pour ses activités, et démontre cette conformité à ses clients.

Dans le cadre de l'infrastructure de paiement PCI DSS d'OVHcloud, OVHcloud est responsable de la sécurité de l'infrastructure, tandis que vous restez responsable de la sécurité des machines virtuelles que nous hébergeons, de l'utilisation des fonctionnalités du réseau virtuel et des couches d'application déployées sur vos machines virtuelles. De cette façon, la conformité PCI DSS est un effort conjoint pour combiner les mesures de sécurité de votre logiciel et de votre plate-forme système avec celles de l'infrastructure de Private Cloud d'OVHcloud.

La conformité PCI DSS peut être certifiée par une attestation de conformité (AoC), établie après avoir rempli un questionnaire d'auto-évaluation, ou après avoir été auditée par une ou plusieurs sociétés QSA (Qualified Security Assessor).

La conformité de votre plateforme à la norme PCI DSS est un processus structuré, dont les caractéristiques et les obligations dépendent de plusieurs facteurs :

  •     le nombre de transactions effectuées annuellement ;
  •     type(s) de carte(s) bancaire(s) acceptée(s) ;
  •     banque(s) acquéreuse(s) ;
  •     complexité de l'infrastructure de paiement électronique.

Devenir conforme à la norme PCI DSS implique d'approcher les parties concernées, afin de comprendre leurs attentes précises. OVH vous recommande de contacter votre banque acquéreuse et/ou de contacter une société QSA pour vous aider dans ce processus.

La plate-forme OVH fait l'objet d'audits annuels par une société QSA. Les documents d'audit sont à votre disposition pour que vous puissiez les consulter :

  •     comprendre quelles sont les exigences couvertes par notre certification ;
  •     définissez les besoins que vous devez couvrir ;
  •     montrez à votre QSA que toutes les exigences applicables sont reconnues par OVHcloud et sont conformes à la norme PCI DSS.

OVHcloud peut également vous aider à devenir conforme, grâce au soutien de son équipe d'experts, ainsi qu'à la documentation qu'elle offre :

  •     la création d'une matrice d'affectation des responsabilités PCI DSS ;
  •     conditions particulières précisant les responsabilités d’OVHcloud ;
  •     un modèle de spécifications pour l'exécution des tests d'intrusion obligatoires.