Certificação PCI DSS para o alojamento de dados bancários
Os dados dos cartões de pagamento são objeto de uma atenção especial devido ao seu caráter sensível e a várias fraudes. A certificação PCI DSS (Payment Card Industry Data Security Standard) de nível 1 assegura um alto nível de segurança aos organismos bancários e aos utilizadores de serviços online. Todos os que manipulam estes dados confidenciais têm de cumprir requisitos de segurança específicos definidos por esta certificação. Estas normas são geridas, mantidas e controladas pelo PCI Council, uma associação profissional de fornecedores de cartões de pagamento (por exemplo: Visa, Mastercard, American Express, JCB e Discovery). Este padrão de segurança é um dos mais exigentes em matéria de proteção da confidencialidade da informação.
O nosso serviço Hosted Private Cloud Premier tem a certificação PCI DSS 3.2 desde 2015. Os nossos datacenters em França, no Canadá, no Reino Unido, na Alemanha e na Polónia beneficiam desta certificação.
Reforçámos as nossas soluções com certificação PCI DSS com medidas de segurança. Nomeadamente, a validação por token das ações críticas, as listas de controlo de acessos (ACL) às interfaces de administração, os relatórios sobre as ações sensíveis e as funções específicas de gestão de contas.
A sua infraestrutura com certificação PCI DSS permite-lhe estar em conformidade com as normas de segurança em vigor, de forma simples. A OVHcloud acompanha-o no procedimento e disponibiliza-lhe os documentos necessários para a sua certificação PCI DSS.
As nossas soluções de alojamento de dados bancários com certificação PCI DSS
PCI DSS
O que é a norma PCI DSS?
A PCI DSS é uma fonte de referência para os requisitos de segurança concebidos para assegurar a confidencialidade dos cartões bancários e de crédito quando utilizados nos sistemas informáticos. A fonte de referência é criada e mantida pelo PCI Council, uma associação profissional de empresas de cartões de crédito (por exemplo, Visa, Mastercard, American Express, JCB e Discovery).
Qualquer banco que emita cartões aos seus clientes titulares de uma conta bancária, ou que possibilite transações aos seus clientes comerciais, pode fornecer uma definição contratual dos requisitos de segurança que os seus clientes e parceiros devem cumprir. A norma PCI DSS define um nível de segurança comum que abarca a maior parte dos requisitos. A norma PCI DSS tornou-se uma referência em matéria de segurança de pagamentos eletrónicos, transformando-se num requisito sistemático para os utilizadores de sistemas de pagamentos em linha. Cada uma das partes na cadeia de alojamento do sistema de pagamentos em linha tem uma quota-parte de responsabilidade no controlo da segurança global da plataforma. Estas obrigações são contratualmente transferidas pelas marcas dos cartões a todos os intervenientes na plataforma de pagamento eletrónico.
A norma PCI DSS enumera oficialmente mais de 250 controlos e funções de segurança que devem ser implementados para tratar com segurança os números dos cartões. Estes controlos dividem-se em seis grupos:
-
Construir e manter uma rede e um sistema seguros
-
Proteger os dados dos titulares de cartões
-
Manter um programa de controlo de vulnerabilidades
-
Implementar medidas rigorosas para controlar o acesso ao sistema
-
Controlar e testar regularmente as redes
-
Gerir uma política de segurança das informações
Como estar em conformidade com norma PCI DSS
A conformidade PCI DSS aplica-se a toda a plataforma de pagamento eletrónico e é cumprida pelo comerciante, com base nos blocos de construção conformes PCI DSS que pertencem ao seu fornecedor de serviços. Isto significa que cada parte envolvida na utilização da plataforma cumpre os requisitos da norma relevantes para as suas atividades e demonstra essa conformidade aos seus clientes.
No âmbito da infraestrutura de pagamento PCI DSS da OVHcloud, a OVHcloud é responsável pela segurança da infraestrutura, ao passo que o cliente é responsável pela segurança das máquinas virtuais que alojamos, pela utilização das funcionalidades da rede virtual e pelas camadas de aplicação implementadas nas suas máquinas virtuais. Desta forma, a conformidade PCI DSS é um esforço conjunto para combinar as medidas de segurança do software e da plataforma de sistema do cliente com as da infraestrutura da Private Cloud da OVHcloud.
A conformidade PCI DSS pode ser obtida através de uma Certificação de Conformidade, designada em inglês como «Attestation of Compliance» (AoC). Esta certificação é concedida por um consultor ou auditor de segurança qualificado (Qualified Security Assessor / QSA). A certificação inclui a realização de uma auditoria ou de um questionário de autoavaliação por parte de um ou vários agentes QSA.
A conformidade da sua plataforma com as normas PCI DSS depende de um processo formal, cujos requisitos e obrigações dependem de vários fatores:
- número de transações realizadas anualmente;
- tipos de cartões de pagamento aceites;
- banco(s) adquirente(s);
- complexidade da infraestrutura de pagamento eletrónico.
A conformidade com a norma PCI DSS requer uma aproximação das partes interessadas, de modo a compreender as expectativas específicas destas últimas. A OVH recomenda que contacte o seu banco adquirente e/ou entre em contacto com uma empresa QSA para o ajudar neste processo.
A plataforma OVHcloud é objeto de auditorias anuais por uma empresa QSA. Os documentos de auditoria estão à sua disposição para que os possa consultar:
- compreenda as exigências abrangidas pela certificação dos nossos serviços;
- defina as necessidades que deve cobrir;
- mostre ao seu QSA que todos os requisitos aplicáveis são reconhecidos pela OVHcloud e estão em conformidade com a norma PCI DSS.
A OVHcloud também pode ajudá-lo a tornar-se conforme, graças ao apoio da nossa equipa de peritos e à documentação disponibilizada:
- criação de uma matriz de atribuição de responsabilidades PCI DSS;
- condições particulares que especificam as responsabilidades da OVHcloud;
- modelo de especificações para a realização dos testes de intrusão obrigatórios.