Certification PCI DSS pour l'hébergement de données bancaires

Certificação PCI DSS para o alojamento de dados bancários

Os dados dos cartões de pagamento são objeto de uma atenção especial devido ao seu caráter sensível e a várias fraudes. A certificação PCI DSS (Payment Card Industry Data Security Standard) de nível 1 assegura um alto nível de segurança aos organismos bancários e aos utilizadores de serviços online. Todos os que manipulam estes dados confidenciais têm de cumprir requisitos de segurança específicos definidos por esta certificação. Estas normas são geridas, mantidas e controladas pelo PCI Council, uma associação profissional de fornecedores de cartões de pagamento (por exemplo: Visa, Mastercard, American Express, JCB e Discovery). Este padrão de segurança é um dos mais exigentes em matéria de proteção da confidencialidade da informação.

Os nossos produtos com certificação PCI DSS

O nosso serviço Hosted Private Cloud Premier tem a certificação PCI DSS 3.2 desde 2015. Os nossos datacenters em França, no Canadá, no Reino Unido, na Alemanha e na Polónia beneficiam desta certificação.

Segurança reforçada

Reforçámos as nossas soluções com certificação PCI DSS com medidas de segurança. Nomeadamente, a validação por token das ações críticas, as listas de controlo de acessos (ACL) às interfaces de administração, os relatórios sobre as ações sensíveis e as funções específicas de gestão de contas.

Conformidade simplificada

A sua infraestrutura com certificação PCI DSS permite-lhe estar em conformidade com as normas de segurança em vigor, de forma simples. A OVHcloud acompanha-o no procedimento e disponibiliza-lhe os documentos necessários para a sua certificação PCI DSS.

Preços dos nossos produtos com certificação PCI DSS

Packs Preço por mês
PRE 48 (2 hosts com 48 GB de RAM e 12 cores) 1 743,00 € + IVA/mês
PRE 96 (2 hosts com 96 GB de RAM e 12 cores) 2 309,00 € + IVA/mês
PRE 192 (2 hosts com 192 GB de RAM e 16 cores) 2 809,00 € + IVA/mês
PRE 384 (2 hosts com 384 GB de RAM e 32 cores) 4 309,00 € + IVA/mês
PRE 768 (2 hosts com 768 GB de RAM e 32 cores) 5 975,00 € + IVA/mês
PRE vSAN 192 (3 hosts com 192 GB de RAM e 40 cores) 6 442,00 € + IVA/mês
PRE vSAN 384 (3 hosts com 384 GB de RAM e 40 cores) 9 361,00 € + IVA/mês
PRE vSAN 768 (3 hosts com 768 GB de RAM e 40 cores) 13 738,00 € + IVA/mês
Host Com certificação PCI-DSS
PRE 48 715,00 € + IVA/mês
PRE 96 998,00 € + IVA/mês
PRE 192 1 248,00 € + IVA/mês
PRE 384 1 998,00 € + IVA/mês
PRE 768 2 831,00 € + IVA/mês
PRE vSAN 192 2 043,00 € + IVA/mês
PRE vSAN 384 3 016,00 € + IVA/mês
PRE vSAN 768 4 475,00 € + IVA/mês
Datastore Preço à hora Preço por mês
3 TB 0,39 € + IVA/hora 139,00 € + IVA/mês
6 TB 0,79 € + IVA/hora 259,00 € + IVA/mês
9 TB 0,99 € + IVA/hora 359,00 € + IVA/mês
18 TB 1,99 € + IVA/hora 719,00 € + IVA/mês
36 TB 3,99 € + IVA/hora 1 429,00 € + IVA/mês

As nossas soluções de alojamento de dados bancários com certificação PCI DSS

Precisa de ajuda ou de informações?

Um conselheiro da OVHcloud liga-lhe gratuitamente

PCI DSS

O que é a norma PCI DSS?

A PCI DSS é uma fonte de referência para os requisitos de segurança concebidos para assegurar a confidencialidade dos cartões bancários e de crédito quando utilizados nos sistemas informáticos. A fonte de referência é criada e mantida pelo PCI Council, uma associação profissional de empresas de cartões de crédito (como Visa, Mastercard, American Express, JCB e Discovery).

Qualquer banco que emita cartões aos seus clientes titulares de uma conta bancária, ou que possibilite transações aos seus clientes comerciais, pode fornecer uma definição contratual dos requisitos de segurança que os seus clientes e parceiros devem cumprir. A norma PCI DSS define um nível de segurança comum que abarca a maior parte dos requisitos. A norma PCI DSS tornou-se uma referência em matéria de segurança de pagamentos eletrónicos, transformando-se num requisito sistemático para os utilizadores de sistemas de pagamentos em linha. Cada uma das partes na cadeia de alojamento do sistema de pagamentos em linha tem uma quota-parte de responsabilidade no controlo da segurança global da plataforma. Estas obrigações são contratualmente transferidas pelas marcas dos cartões a todos os intervenientes na plataforma de pagamento eletrónico.

A norma PCI DSS enumera oficialmente mais de 250 controlos e funções de segurança que devem ser implementados para tratar com segurança os números dos cartões. Estes controlos dividem-se em seis grupos:

  • Construir e manter uma rede e um sistema seguros

  • Proteger os dados dos titulares de cartões

  • Manter um programa de controlo de vulnerabilidades

  • Implementar medidas rigorosas para controlar o acesso ao sistema

  • Controlar e testar regularmente as redes

  • Gerir uma política de segurança das informações

Como estar em conformidade com norma PCI DSS

A conformidade PCI DSS aplica-se a toda a plataforma de pagamento eletrónico e é cumprida pelo comerciante, com base nos blocos de construção conformes PCI DSS que pertencem ao seu fornecedor de serviços. Isto significa que cada parte envolvida na utilização da plataforma cumpre os requisitos da norma relevantes para as suas atividades e demonstra essa conformidade aos seus clientes.

No âmbito da infraestrutura de pagamento PCI DSS da OVHcloud, a OVHcloud é responsável pela segurança da infraestrutura, ao passo que o cliente é responsável pela segurança das máquinas virtuais que alojamos, pela utilização das funcionalidades da rede virtual e pelas camadas de aplicação implementadas nas suas máquinas virtuais. Desta forma, a conformidade PCI DSS é um esforço conjunto para combinar as medidas de segurança do software e da plataforma de sistema do cliente com as da infraestrutura da Private Cloud da OVHcloud.

A conformidade PCI DSS pode ser obtida através de uma Certificação de Conformidade, designada em inglês como «Attestation of Compliance» (AoC). Esta certificação é concedida por um consultor ou auditor de segurança qualificado (Qualified Security Assessor / QSA). A certificação inclui a realização de uma auditoria ou de um questionário de autoavaliação por parte de um ou vários agentes QSA.

A conformidade da sua plataforma com as normas PCI DSS depende de um processo formal, cujos requisitos e obrigações dependem de vários fatores:

  •     número de transações realizadas anualmente;
  •     tipos de cartões de pagamento aceites;
  •     banco(s) adquirente(s);
  •     complexidade da infraestrutura de pagamento eletrónico.

A conformidade com a norma PCI DSS requer uma aproximação das partes interessadas, de modo a compreender as expectativas específicas destas últimas. A OVH recomenda que contacte o seu banco adquirente e/ou entre em contacto com uma empresa QSA para o ajudar neste processo.

A plataforma OVHcloud é objeto de auditorias anuais por uma empresa QSA. Os documentos de auditoria estão à sua disposição para que os possa consultar:

  •     compreenda as exigências abrangidas pela certificação dos nossos serviços;
  •     defina as necessidades que deve cobrir;
  •     mostre ao seu QSA que todos os requisitos aplicáveis são reconhecidos pela OVHcloud e estão em conformidade com a norma PCI DSS.

A OVHcloud também pode ajudá-lo a tornar-se conforme, graças ao apoio da nossa equipa de peritos e à documentação disponibilizada:

  •     criação de uma matriz de atribuição de responsabilidades PCI DSS;
  •     condições particulares que especificam as responsabilidades da OVHcloud;
  •     modelo de especificações para a realização dos testes de intrusão obrigatórios.