Certificazione PCI DSS per l’hosting di dati bancari.
A causa del loro carattere sensibile, i dati delle carte di pagamento sono oggetto di molte attenzioni e le frodi ad esse legate sono numerose. La certificazione PCI DSS (Payment Card Industry Data Security Standard) Livello 1 assicura agli istituti bancari e agli utenti l’utilizzo di servizi online con un elevato grado di sicurezza. Tutti i soggetti coinvolti nel trattamento di questo tipo di dati confidenziali devono rispettare i requisiti di sicurezza specifici definiti da questa certificazione. L’ente responsabile dell’aggiornamento e mantenimento di questo sistema di riferimento è il PCI Council, un consorzio che include i marchi delle carte di pagamento VISA, Mastercard, American Express, JCB e Discovery. Questo standard è uno dei più rigorosi in materia di protezione della confidenzialità delle informazioni.
La nostra offerta Hosted Private Cloud Premier è certificata PCI DSS 3.2 dal 2015. I nostri datacenter in Francia, Canada, Regno Unito, Germania e Polonia usufruisconodi questa certificazione.
Abbiamo applicato misure di sicurezza aggiuntive alle nostre soluzioni certificata PCI DSS, tra cui convalida delle operazioni critiche tramite token, liste di controllo di accesso (ACL) alle interfacce di amministrazione, report sulle operazioni sensibili e funzionalità specifiche per la gestione degli account.
L’infrastruttura certificata PCI DSS permette di mettere semplicemente in conformità con le norme di sicurezza in vigore. OVHcloud offre il proprio accompagnamento nelle diverse fasi di accreditamento e mette a disposizione i documenti necessari per ottenere la certificazione PCI DSS.
Tariffe dei prodotti certificati PCI DSS
Pack Premier PCI-DSS
| Pack | Prezzo mensile |
|---|---|
| PRE 48 (2 host con 48 GB di RAM e 12 core) | 2.069 € + IVA/mese |
| PRE 96 (2 host con 96 GB di RAM e 12 core) | 2.669 € + IVA/mese |
| PRE 192 (2 host con 192 GB di RAM e 16 core) | 3.229 € + IVA/mese |
| PRE 384 (2 host con 384 GB di RAM e 32 core) | 4.869 € + IVA/mese |
| PRE 768 (2 host con 768 GB di RAM e 32 core) | 6.689 € + IVA/mese |
| PRE vSAN 192 (3 host con 192 GB di RAM e 40 core) | 7.248 € + IVA/mese |
| PRE vSAN 384 (3 host con 384 GB di RAM e 40 core) | 10.458 € + IVA/mese |
| PRE vSAN 768 (3 host con 768 GB di RAM e 40 core) | 15.258 € + IVA/mese |
Host aggiuntivi Premier PCI-DSS
| Host | Con certificazione PCI-DSS |
|---|---|
| PRE 48 | 799 € + IVA/mese |
| PRE 96 | 1.099 € + IVA/mese |
| PRE 192 | 1.379 € + IVA/mese |
| PRE 384 | 2.199 € + IVA/mese |
| PRE 768 | 3.109 € + IVA/mese |
| PRE vSAN 192 | 2.259 € + IVA/mese |
| PRE vSAN 384 | 3.329 € + IVA/mese |
| PRE vSAN 768 | 4.929 € + IVA/mese |
Datastore aggiuntivi Premier
| Datastore | Tariffa oraria | Prezzo mensile |
|---|---|---|
| 3 TB | 0,39 € + IVA/ora | 159 € + IVA/mese |
| 6 TB | 0,79 € + IVA/ora | 289 € + IVA/mese |
| 9 TB | 0,99 € + IVA/ora | 399 € + IVA/mese |
| 12 TB | 1,20 € + IVA/ora | 479 € + IVA/mese |
| 24 TB | 2,25 € + IVA/ora | 899 € + IVA/mese |
| 36 TB | 3,25 € + IVA/ora | 1.299 € + IVA/mese |
Le nostre soluzioni di hosting di dati bancari certificate PCI DSS
Chiedi di essere ricontattato gratuitamente da un consulente OVHcloud.
PCI DSS
Cos'è lo standard PCI DSS?
PCI DSS è un quadro di riferimento delle norme di sicurezza che dovrebbero essere adottate per garantire la confidenzialità dei dati delle carte bancarie utilizzate nei sistemi IT. Il documento è stilato e aggiornato dal PCI Council, un gruppo professionale fondato dai cinque brand VISA, Mastercard, American Express, JCB e Discovery.
Le banche che emettono carte di pagamento per i propri clienti o che gestiscono le transazioni dei commercianti sono libere di definire contrattualmente le policy di sicurezza che i propri clienti e partner devono rispettare. Lo standard PCI DSS comprende una serie di requisiti base applicabili alla maggior parte delle situazioni. Costituisce ormai il riferimento dei sistemi di pagamento e la conformità delle infrastrutture è un'esigenza per gli attori del settore. Ogni entità coinvolta nella catena detiene un certo grado di responsabilità, che permette di garantire la sicurezza della piattaforma. Questi obblighi vengono trasferiti contrattualmente dai brand delle carte a tutti gli altri soggetti interessati.
Lo standard PCI DSS contiene oltre 250 punti di controllo e dispositivi di sicurezza da applicare per una gestione totalmente sicura dei numeri delle carte bancarie. Questi punti di controllo sono classificati in 6 gruppi:
-
Sviluppo e gestione di sistemi e reti sicure
-
Protezione dei dati dei titolari di carta
-
Utilizzo di un programma per la gestione delle vulnerabilità
-
Implementazione di rigide misure di controllo dell'accesso
-
Monitoraggio e test regolari delle reti
-
Gestione di una politica di sicurezza delle informazioni
Come ottenere la conformità PCI DSS
La conformità al PCI DSS si applica all'intera piattaforma di pagamento e deve essere rispettata anche dal commerciante tramite la scelta di provider certificati. Questo implica che ogni soggetto coinvolto possieda i requisiti di sicurezza richiesti per la sua attività e dimostri la propria conformità ai suoi clienti.
Nell'ambito del servizio Payment Infrastructure PCI DSS, OVHcloud è responsabile della sicurezza dell'infrastruttura mentre il cliente della sicurezza delle macchine virtuali ospitate, dell'utilizzo delle funzionalità delle reti virtuali e degli applicativi implementati sulle proprie VM. L'applicazione del PCI DSS rappresenta quindi uno sforzo congiunto per combinare le misure di sicurezza della propria piattaforma applicativa e del sistema con quelle dell'infrastruttura Private Cloud.
La certificazione PCI DSS si ottiene tramite un'Attestazione di Conformità (AoC) rilasciata al completamento di un questionario di autovalutazione o di un audit effettuato da una o più società QSA (Qualified Security Assessor).
La conformità delle piattaforme è un intervento strutturato, con caratteristiche e obblighi che dipendono da numerosi fattori:
- Numero di transazioni effettuate annualmente
- Tipi di carte di pagamento accettate
- banca(e) acquirente(i);
- complessità dell'infrastruttura di pagamento elettronica.
Diventare conformi alle norme PCI DSS implica un dialogo con i soggetti coinvolti per conoscere in modo preciso le loro aspettative. OVH ti consiglia di contattare la tua banca acquirente e/o contattare una società QSA per avere supporto durante il processo.
La piattaforma OVHcloud viene sottoposta annualmente all'audit da parte di una società QSA e mette a disposizione i documenti ottenuti, che permettono di:
- comprendere i requisiti inclusi nella certificazione
- definire i requisiti da rispettare per ottenere la certificazione
- dimostrare al proprio QSA che OVHcloud rispetta gli standard applicabili ed è conforme al PCI DSS
Inoltre, OVHcloud mette a disposizione il suo team di esperti per accompagnare i propri clienti nell'ottenimento dei documenti necessari al raggiungimento della conformità:
- matrice di condivisione delle responsabilità PCI DSS
- condizioni particolari che precisano le responsabilità di OVHcloud
- modello delle specifiche tecniche per la realizzazione dei test di intrusione obbligatori