Standard PCI DSS per l’hosting di dati bancari

Financial data hosting for PCI DSS certification

Standard PCI DSS per l’hosting di dati bancari

Indipendentemente dalla dimensione, tutte le aziende che accettano pagamenti tramite carte bancarie devono essere conformi agli standard PCI Security Council. Per rispondere alle crescenti necessità in termini di sicurezza e garantire la massima protezione delle piattaforme, OVHcloud ha adottato le misure di sicurezza più avanzate. Per implementare in massima sicurezza le proprie soluzioni di pagamento su infrastrutture che rispettano i requisiti di conformità è sufficiente scegliere tra i datacenter OVHcloud che hanno già ottenuto la certificazione.

Conformità

Implementare una piattaforma che rispetta la normativa PCI DSS 3.2, specifica per i Provider di Servizi di Pagamento (PSP) di livello 1, è semplice: con oltre 275 punti di conformità e audit certificati, l’infrastruttura OVHcloud risponde ai requisiti definiti dagli standard per le soluzioni di pagamento con carte bancarie.

Competenza

Per aiutare gli utenti a ottenere il massimo dalla propria infrastruttura Hosted Private Cloud, OVHcloud mette a disposizione tutta la sua esperienza e fornisce supporto nel processo di implementazione di servizi conformi al PCI DSS.

Sicurezza

I pack SDDC Hosted Private Cloud includono funzionalità appositamente concepite al raggiungimento della conformità PCI DSS, come la gestione delle ACL per l'accesso all'infrastruttura, tracciabilità, protezione dei dati e uno smaltimento specifico dei dispositivi hardware.

Costruisci un'infrastruttura di pagamento sicura

Usufruisci degli standard di sicurezza con servizi Cloud certificati PCI DSS.

Cresci con la massima flessibilità e al miglior rapporto prezzo/performance.

Approfitta di un controllo degli accessi esteso e di funzionalità di tracciabilità uniche.

Proteggi le tue soluzioni di pagamento dalle frodi.

Come funziona

Step 1 OVHcloud

Avvia il processo di certificazione

Lo standard PCI DSS si applica all'intera piattaforma di pagamento ed è basata sull'infrastruttura SDDC Hosted Private Cloud di OVHcloud. I ruoli e le responsabilità della tua azienda sono descritti chiaramente nella matrice di condivisione delle responsabilità. OVH si impegna a rispettare i requisiti operativi stabiliti dallo standard relativamente ai dispositivi fisici e ai componenti software delle configurazioni. Il processo di ottenimento della conformità è facilitato e chiaramente definito in base alle caratteristiche specifiche della soluzione di pagamento da certificare.

Step 2 OVHcloud

Attiva la soluzione Hosted Private Cloud di OVHcloud

Con la virtualizzazione vSphere di VMware è possibile attivare la soluzione SDDC Hosted Private Cloud per PCI DSS e iniziare subito a utilizzare la piattaforma. L’applicazione di pagamento viene implementata nel Cloud, che garantisce la massima libertà in termini di scalabilità e accesso alle numerose opzioni di rete, calcolo e storage, mentre la replica dei dati e l’high availability disponibili nelle diverse Region consentono deploy su larga scala per adattarsi alla propria crescita.

Step 3 OVHcloud

Lotta contro le frodi e mantieni aggiornata la tua soluzione

I dati delle carte di pagamento sono oggetto di molte attenzioni e le frodi ad esse legate sono sempre più diffuse. Ecco perché gli operatori del settore hanno una necessità sempre crescente in termini di sicurezza, reporting e monitoraggio. Il servizio Hosted Private Cloud offre numerose funzionalità per tracciare e monitorare in tempo reale gli accessi fraudolenti o le azioni critiche effettuate sulle piattaforma. I dati finanziari dei clienti risultano così sempre al sicuro, in qualsiasi circostanza.

I nostri partner

Funzionalità principali

Sicurezza

Per mantenere completo controllo e visibilità degli utenti che accedono all'infrastruttura, è possibile gestire la propria lista di controllo degli accessi (ACL) e usufruire del timeout di sessione per un maggiore livello di sicurezza.

Monitoraggio

Il monitoraggio dell’infrastruttura è assicurato da funzionalità avanzate che includono SMS, conferma delle operazioni critiche tramite token, sistemi di analisi del traffico e rilevamento delle attività fraudolente.

Reporting

Le misure di sicurezza per la sorveglianza ottimale della piattaforma prevedono report giornalieri delle operazioni sensibili sull’infrastruttura e una gestione migliorata per gli account utente e amministratore.

Tracciabilità

È possibile usufruire di una tracciabilità migliorata sull’intera infrastruttura, con un processo specifico di smaltimento dei dispositivi hardware.

Global Data Sentinel

Global Data Sentinel

"Il passaggio al Cloud Computing ha implicato il trasferimento di una grande quantità di dati dalle infrastrutture locali al Cloud. Global Data Sentinel, unita alle soluzioni OVHcloud, garantisce che i dati possano continuare a essere gestiti e controllati in modo rigoroso anche una volta che hanno lasciato la sede iniziale e nonostante gli elevati standard richiesti dall’imminente nuova legislazione. Il GDPR, ad esempio, vincola le aziende ad assumersi la responsabilità non solo per la sicurezza dei propri dati, ma anche per qualsiasi altra società che possa accedervi ed elaborarli."

Mark Thompson, Responsabile Sviluppo Prodotto di Global Data Sentinel
Hai bisogno di assistenza o maggiori informazioni?
I consulenti OVHcloud sono a tua disposizione

Certificazione PCI DSS

Cos'è lo standard PCI DSS?

PCI DSS è un quadro di riferimento delle norme di sicurezza che dovrebbero essere adottate per garantire la confidenzialità dei dati delle carte bancarie utilizzate nei sistemi IT. Il documento è stilato e aggiornato dal PCI Council, un gruppo professionale fondato dai cinque brand VISA, Mastercard, American Express, JCB e Discovery.

Le banche che emettono carte di pagamento per i propri clienti o che gestiscono le transazioni dei commercianti sono libere di definire contrattualmente le policy di sicurezza che i propri clienti e partner devono rispettare. Lo standard PCI DSS comprende una serie di requisiti base applicabili alla maggior parte delle situazioni. Costituisce ormai il riferimento dei sistemi di pagamento e la conformità delle infrastrutture è un'esigenza per gli attori del settore. Ogni entità coinvolta nella catena detiene un certo grado di responsabilità, che permette di garantire la sicurezza della piattaforma. Questi obblighi vengono trasferiti contrattualmente dai brand delle carte a tutti gli altri soggetti interessati.

Lo standard PCI DSS contiene oltre 250 punti di controllo e dispositivi di sicurezza da applicare per una gestione totalmente sicura dei numeri delle carte bancarie. Questi punti di controllo sono classificati in 6 gruppi:

  • Sviluppo e gestione di sistemi e reti sicure

  • Protezione dei dati dei titolari di carta

  • Utilizzo di un programma per la gestione delle vulnerabilità

  • Implementazione di rigide misure di controllo dell'accesso

  • Monitoraggio e test regolari delle reti

  • Gestione di una politica di sicurezza delle informazioni

Come ottenere la conformità PCI DSS?

La conformità al PCI DSS si applica all'intera piattaforma di pagamento e deve essere rispettata anche dal commerciante tramite la scelta di provider certificati. Questo implica che ogni soggetto coinvolto possieda i requisiti di sicurezza richiesti per la sua attività e dimostri la propria conformità ai suoi clienti.

Nell'ambito del servizio Payment Infrastructure PCI DSS, OVHcloud è responsabile della sicurezza dell'infrastruttura mentre il cliente della sicurezza delle macchine virtuali ospitate, dell'utilizzo delle funzionalità delle reti virtuali e degli applicativi implementati sulle proprie VM. L'applicazione del PCI DSS rappresenta quindi uno sforzo congiunto per combinare le misure di sicurezza della propria piattaforma applicativa e del sistema con quelle dell'infrastruttura Private Cloud.

La certificazione PCI DSS si ottiene tramite un'Attestazione di Conformità (AoC) rilasciata al completamento di un questionario di autovalutazione o di un audit effettuato da una o più società QSA (Qualified Security Assessor).

La conformità delle piattaforme è un intervento strutturato, con caratteristiche e obblighi che dipendono da numerosi fattori:

  •     numero di transazioni effettuate annualmente
  •     tipi di carte di pagamento accettate
  •     bnche acquisitrici
  •     complessità dell’infrastruttura di pagamento

Essere PCI DSS compliant implica un dialogo con i soggetti coinvolti per conoscere in modo preciso le loro aspettative. OVHcloud consiglia di contattare la propria banca acquisitrice o affidarsi a una società QSA per avere supporto durante il processo.

La piattaforma OVHcloud viene sottoposta annualmente all'audit da parte di una società QSA e mette a disposizione i documenti ottenuti, che permettono di:

  •     comprendere i requisiti inclusi nella certificazione
  •     definire i requisiti da rispettare per ottenere la certificazione
  •     dimostrare al proprio QSA che OVHcloud rispetta gli standard applicabili ed è conforme al PCI DSS

Inoltre, OVHcloud mette a disposizione il suo team di esperti per accompagnare i propri clienti nell'ottenimento dei documenti necessari al raggiungimento della conformità:

  •     matrice di condivisione delle responsabilità PCI DSS
  •     condizioni particolari che precisano le responsabilità di OVHcloud
  •     modello delle specifiche tecniche per la realizzazione dei test di intrusione obbligatori