Certification PCI DSS pour l'hébergement de données bancaires

Certificazione PCI DSS per l’hosting di dati bancari

A causa del carattere sensibile, i dati delle carte di pagamento sono oggetto di molte attenzioni e le frodi ad esse legate sono numerose. La certificazione PCI DSS (Payment Card Industry Data Security Standard) Livello 1 assicura agli istituti bancari e agli utenti l’utilizzo di servizi online con un elevato grado di sicurezza. Tutti i soggetti coinvolti nel trattamento di questo tipo di dati confidenziali devono rispettare i requisiti di sicurezza specifici definiti da questa certificazione. L’ente responsabile dell’aggiornamento e mantenimento di questo sistema di riferimento è il PCI Council, un consorzio che include i marchi delle carte di pagamento VISA, Mastercard, American Express, JCB e Discovery. Questo standard è uno dei più rigorosi in materia di protezione della confidenzialità delle informazioni.

Soluzioni certificate PCI DSS

L'offerta Hosted Private Cloud Premier è certificata PCI DSS 3.2 dal 2015. I nostri datacenter in Francia, Canada, Regno Unito, Germania e Polonia usufruiscono di questa certificazione.

Sicurezza potenziata

Alle soluzioni certificate PCI DSS sono state applicate misure di sicurezza aggiuntive come convalida delle operazioni critiche tramite token, liste di controllo di accesso (ACL) alle interfacce di amministrazione, report sulle operazioni sensibili e funzionalità specifiche per la gestione degli account.

Processo semplificato per la conformità

L’infrastruttura certificata PCI DSS agevola l'ottenimento della conformità alle norme di sicurezza in vigore. OVHcloud offre il proprio accompagnamento nelle diverse fasi di accreditamento e mette a disposizione i documenti necessari per rispettare lo standard PCI DSS.

Tariffe dei prodotti certificati PCI DSS

Pack Prezzo mensile
PRE 48 (2 host con 48 GB di RAM e 12 core) 1.743,00 € + IVA/mese
PRE 96 (2 host con 96 GB di RAM e 12 core) 2.309,00 € + IVA/mese
PRE 192 (2 host con 192 GB di RAM e 16 core) 2.809,00 € + IVA/mese
PRE 384 (2 host con 384 GB di RAM e 32 core) 4.309,00 € + IVA/mese
PRE 768 (2 host con 768 GB di RAM e 32 core) 5.975,00 € + IVA/mese
PRE vSAN 192 (3 host con 192 GB di RAM e 40 core) 6.442,00 € + IVA/mese
PRE vSAN 384 (3 host con 384 GB di RAM e 40 core) 9.361,00 € + IVA/mese
PRE vSAN 768 (3 host con 768 GB di RAM e 40 core) 13.738,00 € + IVA/mese
Host Con certificazione PCI-DSS
PRE 48 715,00 € + IVA/mese
PRE 96 998,00 € + IVA/mese
PRE 192 1.248,00 € + IVA/mese
PRE 384 1.998,00 € + IVA/mese
PRE 768 2.831,00 € + IVA/mese
PRE vSAN 192 2.043,00 € + IVA/mese
PRE vSAN 384 3.016,00 € + IVA/mese
PRE vSAN 768 4.475,00 € + IVA/mese
Datastore Tariffa oraria Prezzo mensile
3 TB 0,39 € + IVA/ora 139,00 € + IVA/mese
6 TB 0,79 € + IVA/ora 259,00 € + IVA/mese
9 TB 0,99 € + IVA/ora 359,00 € + IVA/mese
18 TB 1,99 € + IVA/ora 719,00 € + IVA/mese
36 TB 3,99 € + IVA/ora 1.429,00 € + IVA/mese

Le nostre soluzioni di hosting di dati bancari certificate PCI DSS

Bisogno di aiuto o informazioni?

Chiedi di essere ricontattato gratuitamente da un consulente OVHcloud.

Certificazione PCI DSS

Cos'è lo standard PCI DSS?

PCI DSS è un quadro di riferimento delle norme di sicurezza che dovrebbero essere adottate per garantire la confidenzialità dei dati delle carte bancarie utilizzate nei sistemi IT. Il documento è stilato e aggiornato dal PCI Council, un gruppo professionale fondato dai cinque brand VISA, Mastercard, American Express, JCB e Discovery.

Le banche che emettono carte di pagamento per i propri clienti o che gestiscono le transazioni dei commercianti sono libere di definire contrattualmente le policy di sicurezza che i propri clienti e partner devono rispettare. Lo standard PCI DSS comprende una serie di requisiti base applicabili alla maggior parte delle situazioni. Costituisce ormai il riferimento dei sistemi di pagamento e la conformità delle infrastrutture è un'esigenza per gli attori del settore. Ogni entità coinvolta nella catena detiene un certo grado di responsabilità, che permette di garantire la sicurezza della piattaforma. Questi obblighi vengono trasferiti contrattualmente dai brand delle carte a tutti gli altri soggetti interessati.

Lo standard PCI DSS contiene oltre 250 punti di controllo e dispositivi di sicurezza da applicare per una gestione totalmente sicura dei numeri delle carte bancarie. Questi punti di controllo sono classificati in 6 gruppi:

  • Sviluppo e gestione di sistemi e reti sicure

  • Protezione dei dati dei titolari di carta

  • Utilizzo di un programma per la gestione delle vulnerabilità

  • Implementazione di rigide misure di controllo dell'accesso

  • Monitoraggio e test regolari delle reti

  • Gestione di una politica di sicurezza delle informazioni

Come ottenere la conformità PCI DSS?

La conformità al PCI DSS si applica all'intera piattaforma di pagamento e deve essere rispettata anche dal commerciante tramite la scelta di provider certificati. Questo implica che ogni soggetto coinvolto possieda i requisiti di sicurezza richiesti per la sua attività e dimostri la propria conformità ai suoi clienti.

Nell'ambito del servizio Payment Infrastructure PCI DSS, OVHcloud è responsabile della sicurezza dell'infrastruttura mentre il cliente della sicurezza delle macchine virtuali ospitate, dell'utilizzo delle funzionalità delle reti virtuali e degli applicativi implementati sulle proprie VM. L'applicazione del PCI DSS rappresenta quindi uno sforzo congiunto per combinare le misure di sicurezza della propria piattaforma applicativa e del sistema con quelle dell'infrastruttura Private Cloud.

La certificazione PCI DSS si ottiene tramite un'Attestazione di Conformità (AoC) rilasciata al completamento di un questionario di autovalutazione o di un audit effettuato da una o più società QSA (Qualified Security Assessor).

La conformità delle piattaforme è un intervento strutturato, con caratteristiche e obblighi che dipendono da numerosi fattori:

  •     numero di transazioni effettuate annualmente
  •     tipi di carte di pagamento accettate
  •     bnche acquisitrici
  •     complessità dell’infrastruttura di pagamento

Essere PCI DSS compliant implica un dialogo con i soggetti coinvolti per conoscere in modo preciso le loro aspettative. OVHcloud consiglia di contattare la propria banca acquisitrice o affidarsi a una società QSA per avere supporto durante il processo.

La piattaforma OVHcloud viene sottoposta annualmente all'audit da parte di una società QSA e mette a disposizione i documenti ottenuti, che permettono di:

  •     comprendere i requisiti inclusi nella certificazione
  •     definire i requisiti da rispettare per ottenere la certificazione
  •     dimostrare al proprio QSA che OVHcloud rispetta gli standard applicabili ed è conforme al PCI DSS

Inoltre, OVHcloud mette a disposizione il suo team di esperti per accompagnare i propri clienti nell'ottenimento dei documenti necessari al raggiungimento della conformità:

  •     matrice di condivisione delle responsabilità PCI DSS
  •     condizioni particolari che precisano le responsabilità di OVHcloud
  •     modello delle specifiche tecniche per la realizzazione dei test di intrusione obbligatori