OVH Payment infrastructuur gecertificeerd conform PCI DSS 3.2

Deze veiligheidsstandaard, afkomstig uit de sector van leveranciers van betaalkaarten, behoort als het gaat om de bescherming van vertrouwelijke gegevens tot de strengste die er zijn. De conformiteitsverklaring is voor het derde achtereenvolgende jaar verkregen voor de OVH Payment infrastructure PCI DSS.

Hoe verloopt een PCI DSS audit bij OVH?

Het hernieuwen van deze verklaring is het resultaat van een audit van drie maanden. De teams van OVH die verantwoordelijk zijn voor deze service, werden door onze auditors onderworpen aan een toets waaruit moest blijken dat de veiligheidsmaatregelen zoals beschreven in de uit 12 hoofdstukken bestaande standaard, in hun geheel overgenomen en volledig geïmplementeerd waren.

Daarvoor kregen de auditors meer dan 2000 bewijsstukken aangeleverd!
Bij OVH wordt de audit uitgevoerd als op zichzelf staand project, aangestuurd door de mensen van de kwaliteitsbewaking en met medewerking van een groot aantal leden van het team dat verantwoordelijk is voor de Private Cloud. De teams waren zeer nauw bij de audit betrokken, om alert te kunnen reageren op alle vragen en tests die de auditors voor hen in petto hadden. Deze betrokkenheid is altijd onverminderd sterk geweest, zowel bij de voorbereiding als tijdens de beide fases van de audit die zich op locatie afspeelden, en verder de vele keren dat de overlegde bewijsstukken werden besproken. De cijfers zijn indrukwekkend genoeg en tonen aan hoe serieus en uitputtend de gehele operatie is geweest:

275 punten voor compliance in de standaard;
209 controlepunten die van toepassing waren op OVH;
• een audit van 3 maanden;
• meer dan 50 betrokken personen;
• 28 interviews met de technische teams;
• 2 bezoeken aan datacenters;
• meer dan 2000 bewijsstukken aangeleverd bij de auditors;
• een compliance-rapport (ROC) van 370 pagina's.

Daarnaast hebben we nog twee aanvullende doelstellingen geformuleerd: systematiseren van de fases voor een audit (bewijsstukken vergaren, tools gereedmaken voor de communicatie met auditors, snel overnemen van aanbevelingen die verband houden met ontwikkelingen in de standaard) ons voorbereiden op het openzetten van de Private Cloud in onze nieuwe datacenters, met hetzelfde niveau van veiligheid en compliance zoals reeds gerealiseerd voor de vestigingen in Roubaix, Straatsburg, Beauharnois (Canada), Singapore, Sidney, in Engeland en in Duitsland.

Waar staat de PCI DSS standaard voor?

PCI DSS is een lijst met veiligheidseisen die moeten garanderen dat de gegevens van bankpassen veilig zijn in alle informatiesystemen die daar gebruik van maken. De lijst wordt uitgegeven en bijgehouden door de PCI Council, een belangenvereniging van leveranciers van betaalkaarten van Mastercard, American Express, JCB en Discovery.

Elke bank die passen afgeeft voor zijn rekeninghouders of die transacties voor zijn zakelijke klanten bijhoudt, staat het vrij om in zijn voorwaarden bepalingen op te nemen die ertoe strekken dat zijn klanten gehouden zijn de veiligheidseisen in acht te nemen. De PCI DSS standaard bevat een gemeenschappelijke basis voor de veiligheid waarmee het overgrote deel van de vereisten is afgedekt. Deze standaard is inmiddels een vaste leidraad geworden voor wat betreft de veiligheid en vormt een consequent gestelde eis aan elk betaalsysteem. Elke schakel in de hosting chain van het elektronisch betalingssysteem draagt een deel van de verantwoordelijkheden, waardoor de algehele veiligheid van het platform is gewaarborgd. Deze verplichtingen worden door de leveranciers van de passen contractueel overgedragen aan alle deelnemers van het elektronisch betaalplatform.

Concreet betekent dit dat de PCI DSS standaard circa 275 controlepunten en veiligheidsmaatregelen omvat, die om de nummers van de bankpassen veilig te kunnen verwerken volledig moeten worden geïmplementeerd. Deze controlepunten zijn in zes groepen verdeeld:

• opzetten en beheren van een beveiligd netwerk en systeem;
• beschermen van de gegevens van de rekeninghouder;
• beheren van een programma voor de omgang met zwakke plekken;
• doorvoeren van maatregelen voor het controleren van de strikte toegang;
• monitoren en regelmatig uittesten van de netwerken;
• uitstippelen van bedrijfsbeleid inzake de gegevensbescherming.

Hoe kunnen klanten van OVH compliance met PCI DSS naleven?

De compliance met PCI DSS geldt voor het gehele elektronisch betalingsplatform, terwijl de certificering van de OVH Payment infrastructuur uitsluitend betrekking heeft op infrastructuren die door OVH zijn verzorgd. Dat brengt met zich mee dat elke partij die betrokken is bij het beheer van het platform de eisen van de standaard voor zijn deel van de verantwoordelijkheden overneemt en de conformiteit voor zover die door de andere deelnemers bijeen is gebracht, aanvult met zijn eigen bijdrage.

In het kader van de OVH Payment infrastructuur is OVH verantwoordelijk voor de veiligheid van de infrastructuur, terwijl de klant van OVH verantwoordelijk is voor de beveiliging van de gehoste virtuele machines, het gebruik van de functionaliteit van het virtuele netwerk en van de toepassingslagen op zijn virtuele machines. De compliance met PCI DSS is derhalve het resultaat van een gezamenlijke inspanning, waarbij veiligheidsmaatregelen voor het toepassingsplatform gecombineerd worden met maatregelen ten behoeve van de infrastructuur van de Private Cloud.

Om te zorgen dat een bepaalde applicatie van het betalingsplan conform de PCI DSS standaard is, moet er een gestructureerd en complex pad worden afgelegd waarvan de karakteristieken bepaald worden door een groot aantal factoren, zoals het aantal transacties dat per jaar wordt gedaan, de soorten bankpassen die geaccepteerd worden en de complexiteit van de algehele infrastructuur. Dit behoort tot de taken van de "ontvangende bank", die de betalingen namens de handelaar in ontvangst neemt en die de eisen waar de handelaar aan dient te voldoen moet formuleren en bekendmaken.

Om onze klanten in staat te stellen hun infrastructuur voor het elektronisch betaalverkeer op de rails te zetten, ongeacht de omvang en complexiteit daarvan, heeft OVH ervoor gekozen de PCI DSS compliance voor serviceproviders voor betalingsverkeer (PSP Level 1) op het hoogste niveau te brengen en zich altijd te laten certificeren volgens de meest recente versie van de standaard zoals die bekend is op de datum van de audit.

Contracten en conformiteitsverklaringen

Hoewel de situatie voor elke klant verschillend is, vertoont de gang van zaken in de meeste gevallen toch grotendeels een van de beide volgende patronen. De verplichting om te handelen conform de standaard is vervat in contracten tussen de verschillende partijen, terwijl de bewijzen voor de compliance verkregen worden op basis van conformiteitsverklaringen.

Voor een handelaar die zijn betalingsplatform host op een infrastructuur van OVH:

Voor een serviceprovider voor betalingsverkeer (PSP) die systemen host op een infrastructuur van OVH en die handelaren als klant heeft:

De verdeling van de verantwoordelijkheden

Om tot in het detail te bepalen waar de verantwoordelijkheden voor onze klanten precies liggen, is geen eenvoudige zaak. Om te kunnen zien welke eisen volgens PCI DSS op een specifieke context van toepassing zijn, dient men een zeer goed inzicht te hebben in de opbouw van de lijst. Wij adviseren onze klanten dan ook om hiervoor een auditor (QSA) in te schakelen die hen hierbij terzijde kan staan.

Omgekeerd is het zo dat de verdeling van de verantwoordelijkheden tussen OVH en haar klanten zo is gekozen dat alles glashelder is, dankzij de standaardisering van onze service en de duidelijke segmentering tussen de operationele verantwoordelijkheden bij OVH enerzijds en haar klanten anderzijds. Gezien vanuit het perspectief van de PCI DSS, is de verdeling van de verantwoordelijkheden als volgt:

Beheren van een programma voor de omgang met zwakke plekken

Vereiste cf. PCI DSS - Voorwaarde 1

Installeren en beheren van een firewall om de gegevens van de houder te beschermen

Verantwoordelijkheden OVH / Klant

Van OVH, voor het configureren van de interface en het voor de klanten beschikbaar maken van functies voor netwerkbeheer.

Van de Klant, voor het configureren van het virtuele netwerk binnen het virtuele datacenter.

Vereiste cf. PCI DSS - Voorwaarde 2

Geen gebruik maken van standaard wachtwoorden en andere veiligheidsparameters zoals ze af fabriek zijn ingesteld

Verantwoordelijkheden OVH / Klant

Van OVH, voor de uitrusting van de infrastructuren (netwerk, hypervisors, servers en databases voor de infrastructuur voor het virtualiseren en beheren van de service).

Van de Klant, voor de virtuele machines en de in de Private Cloud gehoste applicaties.

Beschermen van de gegevens van de rekeninghouder

PCI DSS - Voorwaarde 3

Beschermen van de opgeslagen gegevens van de houder

Verantwoordelijkheden OVH / Klant

Er geldt de exclusieve verantwoordelijkheid van de klant voor zijn eigen applicatie-architectuur.

Vereiste cf. PCI DSS - Voorwaarde 4

Het versleuteld verzenden van gegevens van de houder via de open publieke netwerken

Verantwoordelijkheden OVH / Klant

Er geldt de exclusieve verantwoordelijkheid van de klant voor zijn eigen applicatie-architectuur.

Beheren van een programma voor de omgang met zwakke plekken

PCI DSS - Voorwaarde 5

Beschermen van alle systemen tegen kwaadaardige software en het uitbrengen van regelmatige updates voor antivirus- en andere programma's

Verantwoordelijkheden OVH / Klant

Van OVH, voor de hypervisors, servers en databases voor de infrastructuur voor het virtualiseren en beheren van de service.

Van de Klant, voor de virtuele in de Private Cloud gehoste machines.

PCI DSS - Voorwaarde 6

Ontwikkelen en beheren van beveiligde systemen en applicaties

Verantwoordelijkheden OVH / Klant

Van OVH, voor de beheersinterface zoals deze ter beschikking wordt gesteld van klanten, de robots en de systemen voor servicebeheer.

Van de Klant, voor de applicaties en de scripts die worden uitgevoerd in de in de Private Cloud gehoste virtuele machines.

Doorvoeren van maatregelen voor het controleren van de strikte toegang

PCI DSS - Voorwaarde 7

Beperken van de toegang tot de gegevens van de houder tot de personen die deze moeten kennen

Verantwoordelijkheden OVH / Klant

Van OVH, voor de uitrusting van de infrastructuren (netwerk, hypervisors, servers en databases voor de infrastructuur voor het virtualiseren en beheren van de service).

Van de Klant, voor de virtuele machines en de in de Private Cloud gehoste applicaties.

PCI DSS - Voorwaarde 8

Identificeren en verifiëren wie er toegang hebben tot de componenten van het systeem

Verantwoordelijkheden OVH / Klant

Van OVH, voor de uitrusting van de infrastructuren (netwerk, hypervisors, servers en databases voor de infrastructuur voor het virtualiseren en beheren van de service).

Van de Klant, voor de virtuele machines en de in de Private Cloud gehoste applicaties.

Vereiste cf. PCI DSS - Voorwaarde 9

De fysieke toegang tot de gegevens van de houder beperken

Verantwoordelijkheden OVH / Klant

OVH is exclusief verantwoordelijk voor het fysiek hosten van het platform.

Monitoren en regelmatig uittesten van de netwerken

Vereiste cf. PCI DSS - Voorwaarde 10

Monitoren van de toegang tot de bronnen van het netwerk en de gegevens van de houder

Verantwoordelijkheden OVH / Klant

Van OVH, voor de uitrusting van de infrastructuren (netwerk, hypervisors, servers en databases voor de infrastructuur voor het virtualiseren en beheren van de service).

Van de Klant, voor de virtuele machines en de in de Private Cloud gehoste applicaties.

Vereiste cf. PCI DSS - Voorwaarde 11

Regelmatig testen van de procedures en veiligheidssystemen

Verantwoordelijkheden OVH / Klant

Van OVH, voor de uitrusting van de infrastructuren (netwerk, hypervisors, servers en databases voor de infrastructuur voor het virtualiseren en beheren van de service).

Van de Klant, voor de virtuele machines en de in de Private Cloud gehoste applicaties.

Uitstippelen van bedrijfsbeleid inzake de gegevensbescherming

Vereiste cf. PCI DSS - Voorwaarde 12

Een beleid aanhouden waarbij het voltallige personeel wordt gewezen op het belang van de veiligheidsvoorschriften

Verantwoordelijkheden OVH / Klant

Van OVH, voor de teams die verantwoordelijk zijn voor de ontwikkeling, het uitrollen, exploiteren en ondersteunen van de Private Cloud. Het bedrijfsbeleid omvat alle procedures die verband houden met het verlenen van de service.

Van de Klant, voor de zakelijke toepassing van de applicatie waarmee de kaartgegevens worden verwerkt.