PCI DSS Standaard

12 vereisten voor de beveiliging van bankkaartgegevens

Wat is de PCI DSS standaard?

PCI DSS is een referentiebron voor beveiligingsvereisten die zijn ontworpen om de vertrouwelijkheid van bankkaarten en creditcards te waarborgen bij gebruik in IT-systemen. De referentiebron wordt bewerkt en onderhouden door de PCI Council, een professionele asssociatie van creditcardmaatschappijen die VISA, Mastercard, American Express, JCB en Discovery omvat.

Wie zijn de belangrijkste spelers in een elektronisch banksysteem?

  • Kaarthouder: de eigenaar van de kaart en de bijbehorende account (eindgebruiker)
  • Uitgevende instelling: bank van de kaarthouder
  • Handelaar: winkelier die creditcards als betaalmiddel accepteert
  • De ontvanger van de betalingstransactie (acquirer): de bank die de betalingstransactie ontvangt namens de verkoper
  • Kaartmerken: vertrouwde derde partijen die de relatie tussen de partijen in een transactie beheren (Visa, Mastercard, American Express, etc.)
  • Payment Service Providers (PSP): alle andere tussenpersonen in de elektronische betaalketen. Als IaaS-provider is OVH een PSP

Elke bank die kaarten uitgeeft aan haar klanten die bankrekeningen hebben of transacties voor haar handelsklanten verzamelt, is vrij om een contractuele definitie te geven van de beveiligingsvereisten waaraan haar klanten en partners zich moeten houden. De PCI DSS standaard definieert een gemeenschappelijk beveiligingsniveau dat de overgrote meerderheid van de vereisten dekt. PCI DSS standaard is een maatstaf geworden voor elektronische betalingszekerheid en naleving van deze norm is een systematische vereiste geworden voor partijen in online betaalsystemen. Elke partij in de hostingketen van het online betalingssysteem heeft een zekere verantwoordelijkheid bij het handhaven van de algehele veiligheid van het platform. Deze verplichtingen worden contractueel overgedragen van de kaartmerken naar alle actoren die bij het elektronische betalingsplatform zijn betrokken.

De PCI DSS-standaard bevat officieel meer dan 250 besturingselementen en beveiligingsfuncties die moeten worden ingesteld om veilig kaartnummers te verwerken. Deze bedieningselementen zijn verdeeld in 6 groepen:

  • Bouwen en onderhouden van een beveiligd netwerk en systeem

    Voorwaarde 1: installeren en onderhouden van een firewallconfiguratie om de gegevens van de kaarthouder te beschermen
    Voorwaarde 2: niet gebruiken van door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsinstellingen
  • Beschermen van de gegevens van de kaarthouder

    Voorwaarde 3: beschermen van de opgeslagen gegevens van de kaarthouder
    Voorwaarde 4: encryptie van elke gegevensoverdracht van de kaarthouder op open openbare netwerken
  • Omgaan met kwetsbaarheden middels vaste procedures

    Voorwaarde 5: beschermen van alle systemen tegen malware en regelmatig updaten van antivirussoftware of -programma's
    Voorwaarde 6: ontwikkelen en onderhouden van veilige systemen en applicaties
  • Implementeren van sterke toegangscontrolemaatregelen

    Voorwaarde 7: beperken van de toegang tot de gegevens van de kaarthouder door individuen op need-to-know-basis
    Voorwaarde 8: identificeren en valideren van de toegang tot componenten van het systeem
    Voorwaarde 9: beperken van fysieke toegang tot de gegevens van de kaarthouder
  • Regelmatig netwerken monitoren en testen

    Voorwaarde 10: volgen en bewaken van alle toegang tot netwerk resources en de gegevens van de kaarthouder
    Voorwaarde 11: regelmatig testen van beveiligingssystemen en -processen
  • Handhaven van een informatiebeveiligingsbeleid

    Voorwaarde 12: een beleid handhaven dat informatiebeveiliging voor alle personeelsleden behandelt

Hoe te voldoen aan de PCI DSS beveiligingsnorm

PCI DSS conformiteit is van toepassing op het gehele elektronische betalingsplatform en wordt door de handelaar nageleefd door te vertrouwen op de PCI DSS compatibele bouwstenen die toebehoren aan zijn serviceprovider. Dit betekent dat elke partij die betrokken is bij het gebruik van het platform, voldoet aan de standaardvereisten die relevant zijn voor haar activiteiten, en deze naleving aan haar klanten laat zien.

In de context van OVH PCI DSS Payment Infrastructure is OVH verantwoordelijk voor de beveiliging van de infrastructuur, terwijl u verantwoordelijk blijft voor de beveiliging van de virtuele machines die we hosten, het gebruik van virtuele netwerkfuncties en de applicatielagen die op uw virtuele machines worden geïmplementeerd. Op deze manier is PCI DSS-compliance een gezamenlijke inspanning om de beveiligingsmaatregelen van uw software en het systeemplatform te combineren met die van de OVH Private Cloud infrastructuur.

PCI DSS conformiteit kan worden gecertificeerd met een Attest of Compliance (AoC), opgesteld nadat een zelfbeoordelingsvragenlijst is ingevuld of nadat een audit is uitgevoerd door een of meerdere QSA-bedrijven (Qualified Security Assessor).

De conformiteit van uw platform met de PCI DSS-standaard is een gestructureerd proces, waarvoor de kenmerken en verplichtingen afhankelijk zijn van verschillende factoren:

  • Het aantal transacties dat jaarlijks wordt voltooid
  • Soort(en) geaccepteerde bankkaart(en)
  • Acquiring bank(en)
  • Complexiteit van de elektronische betalingsinfrastructuur

Door PCI DSS compliant te worden, worden de betrokken partijen benaderd om hun precieze verwachtingen te begrijpen. OVH beveelt aan dat u contact opneemt met uw acquiring bank en/of contact opneemt met een QSA-bedrijf om u bij dit proces te helpen.

VISA rapportageniveau

Niveau Beschrijving Verplichtingen
1 > 6 miljoen transacties/jaar Audit door een QSA
Kwartaalscans door een Approved Scanning Vendor (ASV)
Attest van Compliance
2 1 miljoen <x <6 miljoen transacties/jaar Vragenlijst voor zelfevaluatie
Kwartaalscans door een Approved Scanning Vendor (ASV)
Attest van Compliance
3/4 x <1 miljoen transacties/jaar Gedefinieerd en getest door elke bank

bron: https://www.visaeurope.com/receiving-payments/security/merchants
Deze gegevens worden alleen ter informatie gegeven. Alleen uw acquiring bank kan u de informatie bieden die is aangepast aan uw context.

Het OVH-platform ondergaat jaarlijkse audits door een QSA-bedrijf. De controledocumenten zijn beschikbaar om te lezen, zodat u kunt:

  • Begrijpen welke eisen worden gedekt door onze certificering
  • Definiëren welke eisen u dient te dekken
  • UW QSA tonen dat alle van toepassing zijnde vereisten door OVH zijn bevestigd en voldoen aan PCI DSS

OVH kan u ook helpen om compliant te worden, zowel door zijn team van experts als door de ondersteunende documentatie die het biedt:

  • Creatie van een PCI DSS verantwoordelijkheidsopdrachtmatrix
  • Speciale voorwaarden die de verantwoordelijkheid van OVH beschrijven
  • Een specificaties template voor het uitvoeren van verplichte intrusion tests

Een verantwoordelijkheidsopdrachtmatrix

Deze verantwoordelijkheidsopdrachtmatrix beschrijft de verantwoordelijkheid van OVH en de klant met betrekking tot de vereisten van PCI DSS normen, zodat u kunt anticiperen op de nalevingsgebieden waarvoor u verantwoordelijk blijft. Alleen een gedetailleerde analyse van de attestering van compliance, op verzoek verstrekt wanneer u zich abonneert op een service, zal u alle informatie verschaffen die nodig is om uw complianceproces te implementeren.

Bouwen en onderhouden van een beveiligd netwerk en systeem
Voorwaarde 1: installeren en onderhouden van een firewallconfiguratie om de gegevens van de kaarthouder te beschermen OVH voor het fysieke netwerk
De klant voor de virtuele functies in het virtuele DC
Voorwaarde 2: niet gebruiken van OVH geleverde standaardwaarden voor systeem-wachtwoorden en andere beveiligingsinstellingen voor infrastructuurhardware De klant voor virtuele machines en applicaties
Beschermen van de gegevens van de kaarthouder
Voorwaarde 3: beschermen van opgeslagen gegevens van de kaarthouder Verantwoordelijkheid van de klant in verband met de uitvoering ervan
Voorwaarde 4: encryptie van de overdracht van kaarthoudergegevens via open, openbare netwerken Verantwoordelijkheid van de klant in verband met de uitvoering ervan
Omgaan met kwetsbaarheden middels vaste procedures
Voorwaarde 5: beschermen van alle systemen tegen malware en regelmatig updaten van antivirussoftware of -programma's OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties
Voorwaarde 6: veilige systemen en applicaties ontwikkelen en onderhouden OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties
Implementeren van sterke toegangscontrolemaatregelen
Voorwaarde 7: beperken van de toegang tot gegevens van kaarthouders en alleen toegang verstrekken tot individuen op basis van de 'need-to-know'-status OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties
Voorwaarde 8: een unieke ID toewijzen aan elk persoon met toegang tot de computer OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties
Voorwaarde 9: fysieke toegang tot kaarthoudergegevens beperken Exclusieve verantwoordelijkheid van OVH voor de fysieke hosting van het platform
Regelmatig netwerken testen en monitoren
Voorwaarde 10: volgen en monitoren van alle toegang tot netwerk resources en kaarthoudergegevens OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties
Voorwaarde 11: regelmatig testen van beveiligingssystemen en -processen OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties
Handhaven van een informatiebeveiligingsbeleid
Voorwaarde 12: een streng beveiligingsbeleid handhaven dat van toepassing is op alle personeelsleden OVH voor infrastructuurhardware
De klant voor virtuele machines en applicaties

OVH Payment infrastructure facts sheet

  • Payment Services Provider (PSP) Level 1
  • PCI DSS V3.2
  • QSA Provadys
  • De PCI DSS optie is beschikbaar op de OVH-betalingsinfrastructuur. U kunt upgraden vanaf elke SDDC-infrastructuur
  • Toepassingsgebied: verantwoordelijkheidsdomeinen in handen van OVH (zie verantwoordelijkheidsopgave matrix)

Overzicht

Hieronder volgen twee eenvoudige gevallen van elektronische betalingshostingsketens om de contractuele relaties en compliancerapporten nader uit te leggen. Elk geval is uniek en vereist een grondige analyse, maar de meeste situaties komen in de buurt van een van de twee onderstaande voorbeelden.

U bent een handelaar die uw platform host op een OVH PCI DSS-infrastructuur:

U bent een Payment Services Provider (PSP) die system host op een OVH PCI DSS-infrastructuur. Uw klanten zijn handelaren.