PCI-DSS

Wat is de PCI DSS standaard?

PCI DSS is een referentiebron voor de beveiligingsvereisten die zijn ontworpen om de vertrouwelijkheid van bankpassen en creditcards te waarborgen bij gebruik in IT-systemen. De referentiebron wordt uitgegeven en onderhouden door de PCI Council, een vereniging van creditcardmaatschappijen, waaronder VISA, Mastercard, American Express, JCB en Discovery.

Elke bank die kaarten verstrekt aan haar klanten met een bankrekening of die transacties voor haar commerciële klanten verwerkt, mag zelf een contractuele definitie geven van de beveiligingsvereisten waaraan haar klanten en partners moeten voldoen. De PCI DSS-standaard definieert een gemeenschappelijk beveiligingsniveau dat aan de meeste vereisten voldoet. De PCI DSS-standaard is een referentiepunt geworden voor veilige elektronische betalingen en naleving van deze standaard is een systematische vereiste geworden voor gebruikers van online betalingssystemen. Elke partij in de hostingketen van het systeem voor online betalingen is gedeeltelijk verantwoordelijk voor de controle van de algemene beveiliging van het platform. Deze verplichtingen worden contractueel door de kaartmaatschappijen overgedragen aan alle partijen die bij het elektronische betalingsplatform betrokken zijn.

PCI DSS bevat officieel meer dan 250 beveiligingscontroles en -functies die geïmplementeerd dienen te worden om kaartnummers veilig te verwerken. Deze controles zijn onderverdeeld in zes groepen:

• Een beveiligd netwerk en systeem bouwen en onderhouden

• Gegevens van kaarthouders beschermen

• Een programma voor het managen van kwetsbaarheden hanteren

• Sterke toegangscontrolemaatregelen implementeren

• Regelmatig netwerken controleren en testen

• Een informatiebeveiligingsbeleid hanteren

Hoe voldoet u aan de PCI DSS standaard?

Het naleven van PCI DSS geldt voor het hele elektronische betalingsplatform en wordt door een ondernemer gerespecteerd door te vertrouwen op PCI DSS-compatibele bouwstenen, die verzorgd worden door zijn serviceprovider. Dit betekent dat elke partij die bij het gebruik van het platform betrokken is, voldoet aan de vereisten van de standaard die relevant zijn voor haar bedrijfsactiviteiten en dat ze deze compliance aan haar klanten aantoont.

In het kader van de PCI DSS betalingsinfrastructuur van OVHcloud is OVHcloud verantwoordelijk voor de beveiliging van de infrastructuur, terwijl u verantwoordelijk blijft voor de beveiliging van de virtual machines die we hosten, het gebruik van de functies van het virtuele netwerk en de applicatielagen die op uw virtual machines zijn geïmplementeerd. PCI DSS compliance is dus een gezamenlijke inspanning om de beveiligingsmaatregelen van uw software en systeemplatform te combineren met de beveiligingsmaatregelen voor de Private Cloud-infrastructuur van OVHcloud.

PCI DSS compliance kan worden gecertificeerd met een “Attestation of Compliance” (AoC; conformiteitsverklaring), die is opgesteld nadat een vragenlijst voor zelfevaluatie is ingevuld, of nadat een audit is uitgevoerd door een of meerdere QSA-bedrijven (“Qualified Security Assessor”).

Het naleven van de PCI DSS-standaard door uw platform is een gestructureerd proces, waarvoor de kenmerken en verplichtingen afhangen van verschillende factoren:

•     het aantal jaarlijks gedane transacties
•     soort(en) geaccepteerde bankpas(sen) en creditcard(s)
•     ontvangende bank(en);
•     complexiteit van de elektronische betalingsinfrastructuur.

PCI DSS-compliance behalen betekent dat de betrokkenen benaderd moeten worden om inzicht te krijgen in hun specifieke verwachtingen. OVHcloud raadt u aan contact op te nemen met uw ontvangende bank en/of contact op te nemen met een QSA-bedrijf om u te helpen bij dit proces.

Een QSA-bedrijf voert jaarlijkse audits uit voor het platform van OVHcloud. De auditdocumenten zijn voor u beschikbaar, zodat u ze raadplegen kunt:

•     begrijpen welke eisen onder onze certificering vallen;
•     definieer de behoeften die u moet afdekken;
•     toon aan uw QSA dat alle toepasselijke eisen door OVHcloud worden erkend en voldoen aan de PCI DSS-standaard.

OVHcloud kan u ook helpen om de standaard na te gaan leven, met de steun van een team experts en de geboden documentatie:

•     het maken van een matrix met PCI DSS-verantwoordelijkheden en -eigenaren;
•     specifieke voorwaarden die de verantwoordelijkheden van OVHcloud preciseren;
•     een model met specificaties om de verplichte inbraaktests uit te voeren.