Hosting danych finansowych wymagający certyfikacji PCI DSS

Financial data hosting for PCI DSS certification

Hosting danych finansowych wymagający certyfikacji PCI DSS

Niezależnie od tego, jak duża jest Twoja firma, w przypadku akceptowania płatności kartą kredytową należy zachować pełną zgodność ze standardami PCI Security Council. Zadbaj o to, aby Twoje rozwiązanie płatnicze było bezpieczne, a Twoi klienci mieli dzięki temu gwarancję bezpieczeństwa ich danych finansowych. OVHcloud wdrożyła najbardziej zaawansowane środki bezpieczeństwa w branży IT, zapewniając najwyższy poziom bezpieczeństwa infrastruktury płatniczej. Wybierz jedno z centrów danych OVHcloud, które posiada certyfikat PCI DSS i uruchom infrastrukturę w chmurze do obsługi płatności online.

Zgodność ze standardami

Zamów platformę w chmurze zgodną ze standardem PCI DSS 3.2 dla dostawców usług płatniczych (PSP) Level 1. OVHcloud osiągnęła ponad 275 punktów zgodności, potwierdzonych zewnętrznym audytem. Tym samym infrastruktura OVHcloud spełnia standardy obowiązujące w przypadku rozwiązań do płatności kartami kredytowymi.

Doświadczenie

Wykorzystaj pełen potencjał infrastruktury Hosted Private Cloud zarządzanej przez OVHcloud. My udzielimy Ci rekomendacji, wskażemy najlepsze praktyki oraz dostarczymy wszystkie niezbędne dowody zgodności, aby wesprzeć Cię w procesie certyfikacji.

Bezpieczeństwo

Wybierz jeden z naszych pakietów SDDC Hosted Private Cloud i odpowiednią dla Ciebie konfigurację oraz zamów dodatkowe funkcje gwarantujące pełną zgodność z wymaganiami PCI DSS w zakresie kontroli dostępu, identyfikowalności i ochrony danych, która obejmuje również utylizację sprzętu.

Rozpocznij budowę Twojego bezpiecznego systemu płatniczego

Wybierz usługi w chmurze o zaostrzonym standardzie bezpieczeństwa z certyfikatem PCI DSS.
Rozwijaj Twoją firmę zgodnie z potrzebami, korzystając z maksymalnej elastyczności i najlepszej relacji ceny do wydajności.
Korzystaj z rozszerzonej kontroli dostępu i unikalnych funkcji identyfikowalności.
Zabezpiecz Twój system płatniczy przed oszustwami.

Jak to działa

Step 1 OVHcloud

Rozpocznij proces certyfikacji

Wymóg zgodności z PCI DSS dotyczy całości platformy płatniczej. OVHcloud umożliwia uzyskanie zgodności dzięki infrastrukturze SDDC Hosted Private Cloud. W macierzy odpowiedzialności opisany jest zakres działań, które musi podjąć OVHcloud oraz klient, aby wspólnie spełnić wymagania standardu PCI DSS. OVHcloud odpowiada za wymogi standardu PCI DSS w odniesieniu do wszystkich fizycznych urządzeń oraz oprogramowania we wszystkich konfiguracjach. Proces certyfikacji jest uproszczony i jasno określony w odniesieniu do specyfiki rozwiązania płatniczego podlegającego certyfikacji.

Step 2 OVHcloud

Zamów rozwiązanie Hosted Private Cloud

Aktywuj funkcje PCI DSS dla rozwiązania SDDC Hosted Private Cloud i zacznij korzystać z platformy opartej na wirtualizacji vSphere od firmy VMware. Twój system płatniczy wdrażany w chmurze, jest skalowalny i posiada wiele opcji związanych z siecią, obliczeniami i przestrzenią dyskową. Replikacja i wysoka dostępność w różnych regionach umożliwia wdrożenia na większą skalę w miarę rozwoju firmy.

Step 3 OVHcloud

Walcz z oszustwami w sieci i dbaj o bezpieczeństwo oprogramowania

Oszustwa polegające na wyłudzaniu danych kart płatniczych są bardzo powszechne, dlatego firmy obsługujące elektroniczne systemy płatnicze mają bardzo wysokie wymagania w zakresie bezpieczeństwa oraz specyficzne potrzeby odnośnie raportowania i monitorowania. Hosted Private Cloud oferuje wiele funkcji umożliwiających śledzenie i monitorowanie w czasie rzeczywistym nieuprawnionych dostępów lub krytycznych działań na Twojej platformie. Zyskaj gwarancję, że dane finansowe Twoich klientów są zawsze bezpieczne.

Nasi partnerzy

Kluczowe funkcje

Bezpieczeństwo

Zarządzaj listą kontroli dostępu (ACL), aby zachować pełną kontrolę nad dostępami do Twojej infrastruktury. Dodatkowym zabezpieczeniem jest automatyczne przerywanie sesji.

Monitoring

Wykorzystaj zaawansowane funkcje monitoringu, takie jak zatwierdzanie krytycznych działań SMS-em lub za pomocą tokena, szczegółowa analiza ruchu i monitoring podejrzanych operacji.

Raporty

Otrzymuj codzienne szczegółowe raporty dotyczące dostępu i wrażliwych operacji prowadzonych na Twojej infrastrukturze. Korzystaj z prostego zarządzania kontami użytkowników i administratorów.

Wzmocnione śledzenie danych

Wprowadź wzmocniony proces śledzenia danych dla całej infrastruktury oraz procedury specyficznego przetwarzania zużytych nośników fizycznych.

Global Data Sentinel

Global Data Sentinel

Zmiana technologii na cloud computing wiązała się z przeniesieniem dużej części danych z lokalnej infrastruktury do chmury. Połączenie rozwiązań Global Data Sentinel i OVHcloud gwarantuje, że dane nadal są zarządzane z zachowaniem rygorystycznych zasad oraz podlegają audytowi. Na przykład RODO nakłada na firmy obowiązek zapewnienia bezpieczeństwa nie tylko własnym danym, ale również danym wszelkich innym organizacji, które mogą mieć do nich dostęp lub je przetwarzać.

Mark Thompson, Dyrektor rozwoju produktu w Global Data Sentinel
Potrzebujesz pomocy przy wyborze rozwiązania?
Doradca OVHcloud oddzwoni do Ciebie. Połączenie jest bezpłatne.

PCI DSS

Co to jest standard PCI DSS?

PCI DSS jest normą określającą wymagania bezpieczeństwa stworzoną w celu zapewnienia poufności danych dotyczących kart płatniczych używanych w systemach informatycznych. Norma jest tworzona i aktualizowana przez PCI Security Council, profesjonalną organizację stowarzyszającą wydawców kart kredytowych: VISA, Mastercard, American Express, JCB i Discovery.

Każdy bank wydający karty płatnicze lub rozliczający transakcje akceptantów ma prawo ustalić w umowie wymagania bezpieczeństwa, których muszą przestrzegać klienci i partnerzy. Standard PCI DSS określa wspólną bazę wymogów dotyczących bezpieczeństwa. PCI DSS stał się referencyjną normą bezpieczeństwa dla elektronicznych systemów płatności i wszystkie strony korzystające z systemów płatniczych są zobowiązane do jego przestrzegania. Ponadto na każdym podmiocie będącym elementem łańcucha płatniczego spoczywa odpowiedzialność, w dotyczącym go zakresie, za zapewnienie całkowitego bezpieczeństwa platformy. Zobowiązania te określone zostają w umowie przez organizacje płatnicze reprezentujące marki kart.

Standard PCI DSS określa ponad 250 punktów kontrolnych oraz środków bezpieczeństwa, które należy wdrożyć, aby zapewnić całkowite bezpieczeństwo przetwarzania numerów kart płatniczych. Punkty kontrolne podzielone są na 6 grup:

  • Budowa oraz utrzymanie bezpiecznej sieci i systemu;

  • Ochrona danych posiadacza karty;

  • Prowadzenie programu zarządzania podatnościami;

  • Implementacja silnych mechanizmów kontroli dostępu;

  • Regularny monitoring i testy sieci;

  • Prowadzenie polityki bezpieczeństwa informacji.

Jak zapewnić zgodność ze standardem PCI DSS?

Wymóg zgodności z PCI DSS dotyczy całości platformy płatniczej i wszystkich jej elementów. Każdy z podmiotów zaangażowanych w eksploatację platformy ma obowiązek przestrzegania wymagań standardu PCI DSS i stosowania ich w odniesieniu do prowadzonych przez siebie działań. Ponadto zobowiązany jest do wykazywania zgodności ze standardem wobec swoich klientów.

OVHcloud jest odpowiedzialna za bezpieczeństwo infrastruktury OVH Payment Infrastructure PCI DSS, natomiast klient jest odpowiedzialny za bezpieczeństwo hostowanych maszyn wirtualnych, wykorzystywane funkcje wirtualnych sieci oraz warstwy aplikacyjne zastosowane w wirtualnych maszynach. Zachowanie zgodności z PCI DSS jest zatem wynikiem wspólnego działania, którego celem jest kombinacja mechanizmów bezpieczeństwa użytych w platformie aplikacyjnej i systemie oraz w infrastrukturze Private Cloud.

Zgodność z PCI DSS może być potwierdzona certyfikatem zgodności (AoC) wydanym po wykonaniu ewaluacji wewnętrznej lub przeprowadzeniu audytu przez jedną lub kilka firm QSA (Qualified Security Assessor) wyspecjalizowanych w audytach bezpieczeństwa.

Uzyskanie zgodności platformy ze standardem PCI DSS jest złożoną operacją, której charakterystyka i związane z nią wymagania zależą od wielu czynników, takich jak:

  •     Liczba transakcji przeprowadzanych rocznie;
  •     Typ(y) akceptowanych kart płatniczych;
  •     Agent rozliczeniowy;
  •     Złożoność infrastruktury systemu płatniczego.

Uzyskanie zgodności ze standardem PCI DSS wiąże się z koniecznością zapoznania ze szczegółowymi wymaganiami wszystkich stron uczestniczących w łańcuchu płatniczym. OVHcloud rekomenduje kontakt z bankiem (agentem rozliczeniowym) i/lub skorzystanie z usług firmy wyspecjalizowanej w audycie bezpieczeństwa (ang. QSA), która udzieli wsparcia w przeprowadzanej procedurze certyfikacji.

OVHcloud co roku zleca przeprowadzenie audytu swojej platformy firmie QSA i udostępnia uzyskane w jego wyniku dokumenty, które pozwalają:

  •     Zapoznać się z wymaganiami spełnianymi przez OVH w ramach aktualnej certyfikacji;
  •     Określić wymagania, które powinien spełniać klient;
  •     Wykazać firmie audytorskiej klienta, że całość mających zastosowanie wymagań jest spełnionych przez OVH i zgodnych ze standardem PCI DSS.

Ponadto OVHcloud wspiera klientów w uzyskaniu zgodności ze standardem PCI DSS, oferując pomoc swojego zespołu ekspertów oraz udostępniając dokumenty:

  •     Macierz podziału odpowiedzialności w zakresie zapewnienia bezpieczeństwa zgodnie z PCI DSS;
  •     Szczególne warunki określające zakres odpowiedzialności OVHcloud;
  •     Wzór specyfikacji zawierającej wytyczne do przeprowadzenia obowiązkowych testów odporności na włamanie.