OVH NEWS | INNOVAZIONI E TENDENZE IT


Scopri, comprendi, anticipa









12/01/2018
Condividi

Articolo scritto da Julien Levrard


OVH Payment Infrastructure certificato PCI DSS 3.2


Lo scorso 23 giugno OVH ha ottenuto il rinnovo del certificato di conformità allo standard PCI DSS 3.2 come fornitore di servizi di pagamento Livello 1. Questo standard di sicurezza, richiesto dal settore delle carte di pagamento, è uno dei più rigorosi in termini di tutela della riservatezza delle informazioni. Per il terzo anno consecutivo, la soluzione OVH Payment infrastructure PCI DSS ha ottenuto la certificazione.

Lo scorso 23 giugno OVH ha ottenuto il rinnovo del certificato di conformità allo standard PCI DSS 3.2 come fornitore di servizi di pagamento Livello 1. Questo standard di sicurezza, richiesto dal settore delle carte di pagamento, è uno dei più rigorosi in termini di tutela della riservatezza delle informazioni. Per il terzo anno consecutivo, la soluzione OVH Payment infrastructure PCI DSS ha ottenuto la certificazione.

La conformità è costruita sulla base dell'offerta Private Cloud e usufruisce di dispositivi di sicurezza avanzati quali la conferma delle operazioni sull'infrastruttura tramite token, le ACL per l’accesso alle interfacce di amministrazione, i report giornalieri delle operazioni sensibili e le funzioni dedicate alla gestione degli account utente e amministratore. La valutazione è stata effettuata dallo studio Provadys, auditor qualificato (QSA), che accompagna OVH dall'inizio del progetto di ottenimento della conformità PCI DSS.






Come si svolge l’audit PCI DSS di OVH?


Il rinnovo della certificazione è il risultato di un processo durato tre mesi. I team OVH responsabili dell'offerta sono stati messi alla prova dagli auditor nel dimostrare la totale conformità dei criteri di sicurezza indicati nei 12 capitoli dello standard.



Oltre 2.000 prove fornite agli auditor! In OVH l'audit viene gestito dal team di controllo qualità come un progetto a tutti gli effetti, coinvolgendo i vari tecnici del Private Cloud. I team sono stati mobilitati per rispondere a tutte le domande ed eseguire i test richiesti. Una mobilitazione che li ha coinvolti durante la preparazione, le due fasi di audit in loco e gli scambi sulle prove fornite. I numeri sono esorbitanti e dimostrano la serietà e l’esaustività della valutazione:



• 275 criteri di conformità nello standard; 209 criteri di verifica applicabili a OVH; • 3 mesi di audit; • più di 50 persone coinvolte; • 28 colloqui con i team tecnici; • 2 visite ai datacenter; • oltre 2.000 prove fornite agli auditor; • un report di conformità (ROC) di 370 pagine.



In parallelo, ci siamo posti due obiettivi complementari: industrializzare il processo di audit (raccolta delle prove, strumenti di comunicazione con gli auditor, gestione rapida delle raccomandazioni associate alle evoluzioni dello standard) e prepararci all’introduzione dell’offerta Private Cloud nei nostri nuovi datacenter, mantenendo lo stesso livello di sicurezza e conformità garantito alle infrastrutture ospitate a Roubaix, Strasburgo, Beauharnois (Canada), Singapore, Sidney, Inghilterra e Germania.



Cos’è lo standard PCI DSS?


PCI DSS è un insieme di requisiti e procedure standard volto a garantire la sicurezza dei dati delle carte bancarie nei sistemi IT che li utilizzano. L’ente responsabile dell’aggiornamento e mantenimento di questo sistema di riferimento è il PCI Council, un consorzio che include i marchi delle carte di pagamento VISA, Mastercard, American Express, JCB e Discovery.



Ogni banca che emette carte per i propri clienti, titolari di una carta bancaria, o che effettua transazioni per gli esercenti è libera di definire contrattualmente i requisiti di sicurezza da rispettare. Lo standard PCI DSS definisce una base di sicurezza comune applicabile alla maggior parte delle esigenze. È diventato il punto di riferimento per la sicurezza e un’esigenza sistematica per i sistemi di pagamento. Tutti i soggetti coinvolti nella catena di hosting del sistema di pagamento elettronico detengono una parte di responsabilità e, insieme, garantiscono la sicurezza globale della piattaforma. Questi obblighi sono trasferiti contrattualmente dagli istituti bancari agli attori della piattaforma monetaria.






Lo standard PCI DSS elenca circa 275 criteri di verifica e dispositivi di sicurezza da implementare per gestire i numeri delle carte bancarie in totale sicurezza. Questi requisiti sono classificati in 6 gruppi:



• creazione e gestione di una rete e di un sistema sicuro; • protezione dei dati del titolare; • adozione di un programma di gestione delle vulnerabilità; • implementazione di rigorose misure di controllo dell’accesso; • monitoraggio e controllo periodico delle reti; • gestione di una politica di protezione delle informazioni.



In che modo i clienti OVH possono ottenere la conformità PCI DSS?


Lo standard PCI DSS è applicabile a tutte le piattaforme di pagamento elettronico, la certificazione ottenuta da OVH Payment Infrastructure riguarda invece esclusivamente le infrastrutture implementate da OVH. Questo implica che tutti i soggetti che utilizzano la piattaforma rispettino i requisiti previsti dallo standard nel proprio ambito di competenza e contribuiscano all’ottenimento della conformità insieme agli altri soggetti coinvolti.



Nel caso specifico di OVH Payment Infrastructure, la responsabilità di OVH risiede nella sicurezza dell'infrastruttura, mentre quella dei suoi clienti nella sicurezza delle macchine virtuali ospitate, nell’utilizzo delle funzioni della rete virtuale e dei livelli applicativi implementati sulle proprie VM. La conformità al PCI DSS è quindi il risultato di uno sforzo congiunto per combinare le misure di sicurezza della piattaforma applicativa e quelle dell'infrastruttura Private Cloud.






L’ottenimento della conformità allo standard PCI DSS di un’applicazione monetica è un’operazione strutturata e articolata, a cui concorrono numerosi fattori, come il numero annuale di transazioni, le tipologie di carte bancarie accettate e la complessità dell'infrastruttura generale. Uno dei ruoli della "Banca Acquirer”, l’istituto bancario che riceve i pagamenti per conto dell’esercente, è definire e comunicare i requisiti che il commerciante deve rispettare.



Per consentire ai nostri clienti di implementare le proprie infrastrutture monetiche indipendentemente dalle loro dimensioni e complessità, OVH ha scelto di adottare il più alto livello di conformità al PCI DSS per un provider di servizi di pagamento (PSP Level 1) e ha deciso di ottenere sempre la certificazione per la versione più recente dello standard disponibile al momento dell'audit.



Contratti e attestazioni di conformità


Ogni caso è unico, ma la maggior parte delle situazioni si avvicinano a uno di questi due modelli. I criteri per l’ottenimento della conformità sono infatti imposti dai contratti tra i soggetti coinvolti e le prove della conformità vengono fornite sulla base delle attestazioni di conformità.



Per un esercente che ospita la propria piattaforma di pagamento su un’infrastruttura OVH:






Per un fornitore di servizi di pagamento (PSP) che ospita sistemi su un'infrastruttura OVH e i cui clienti sono esercenti:






La condivisione delle responsabilità


Definire le responsabilità precise dei nostri clienti è un'operazione complessa. Identificare i requisiti del PCI DSS applicabili a un contesto specifico richiede una conoscenza approfondita del testo di riferimento. Per questo motivo, consigliamo ai nostri clienti di affidarsi a una società QSA che li accompagni in questa analisi.



Al contrario, la condivisione delle responsabilità tra OVH e i suoi clienti è pensata per essere il più trasparente possibile, grazie alla standardizzazione della nostra offerta e a una forte segmentazione delle aree di responsabilità. Visto dal prisma PCI DSS, la condivisione delle responsabilità è la seguente.



Adozione di un programma di gestione delle vulnerabilità



Criterio PCI DSS - Requisito 1



Installare e gestire una configurazione firewall per proteggere i dati del titolare



Responsabilità OVH/Cliente



OVH: configurazione delle infrastrutture fisiche e disponibilità delle funzionalità di gestione della rete per i clienti.



Cliente: configurazione della rete virtuale all'interno del datacenter virtuale.



Criterio PCI DSS - Requisito 2



Non utilizzare password e altri parametri di default forniti dai produttori nella configurazione dei sistemi di sicurezza



Responsabilità OVH/Cliente



OVH: componenti infrastrutturali (rete, hypervisor, server e database dell'infrastruttura di virtualizzazione e di gestione del servizio)



Cliente: macchine virtuali e applicazioni ospitate nel Private Cloud



Protezione dei dati del titolare



Criterio PCI DSS - Requisito 3



Proteggere i dati del titolare salvati



Responsabilità OVH/Cliente



Responsabilità esclusiva del cliente associata alla sua architettura applicativa



Criterio PCI DSS - Requisito 4



Cifrare i dati del titolare della carta quando trasmessi sulle reti pubbliche aperte



Responsabilità OVH/Cliente



Responsabilità esclusiva del cliente associata alla sua architettura applicativa



Adozione di un programma di gestione delle vulnerabilità



Criterio PCI DSS - Requisito 5



Proteggere tutti i sistemi contro i programmi malevoli e aggiornare regolarmente antivirus e programmi



Responsabilità OVH/Cliente



OVH: hypervisor, server e database dell’infrastruttura di virtualizzazione e di gestione del servizio



Cliente: macchine virtuali ospitate nel Private Cloud



Criterio PCI DSS - Requisito 6



Sviluppare e gestire applicazioni e sistemi sicuri



Responsabilità OVH/Cliente



OVH: interfacce di gestione messe a disposizione dei clienti, robot e sistemi di gestione del servizio



Cliente: applicazioni e script in esecuzione sulle macchine virtuali ospitate nel Private Cloud



Implementazione di rigorose misure di controllo dell’accesso



Criterio PCI DSS - Requisito 7



Limitare l'accesso ai dati del titolare



Responsabilità OVH/Cliente



OVH: componenti infrastrutturali (rete, hypervisor, server e database dell'infrastruttura di virtualizzazione e di gestione del servizio)



Cliente: macchine virtuali e applicazioni ospitate nel Private Cloud



Criterio PCI DSS - Requisito 8



Identificare e autenticare l'accesso ai componenti del sistema



Responsabilità OVH/Cliente



OVH: componenti infrastrutturali (rete, hypervisor, server e database dell'infrastruttura di virtualizzazione e di gestione del servizio)



Cliente: macchine virtuali e applicazioni ospitate nel Private Cloud



Criterio PCI DSS - Requisito 9



Limitare l’accesso fisico ai dati del titolare



Responsabilità OVH/Cliente



Responsabilità esclusiva di OVH per l’hosting fisico della piattaforma



Monitoraggio e controllo periodico delle reti



Criterio PCI DSS - Requisito 10



Assicurare il monitoraggio e tenere sotto controllo tutti gli accessi alle risorse di rete e ai dati del titolare



Responsabilità OVH/Cliente



OVH: componenti infrastrutturali (rete, hypervisor, server e database dell'infrastruttura di virtualizzazione e di gestione del servizio)



Cliente: macchine virtuali e applicazioni ospitate nel Private Cloud



Criterio PCI DSS - Requisito 11



Verificare regolarmente la sicurezza di sistemi e processi



Responsabilità OVH/Cliente



OVH: componenti infrastrutturali (rete, hypervisor, server e database dell'infrastruttura di virtualizzazione e di gestione del servizio)



Cliente: macchine virtuali e applicazioni ospitate nel Private Cloud



Gestione di una politica di protezione delle informazioni



Criterio PCI DSS - Requisito 12



Mantenere una politica di sicurezza delle informazioni indirizzata a tutti i dipendenti



Responsabilità OVH/Cliente



OVH: team preposti allo sviluppo, industrializzazione, funzionamento e supporto del servizio Private Cloud La politica riguarda tutti i processi che permettono l’implementazione del servizio



Cliente: perimetro di attività in cui utilizzare l’applicazione per il trattamento dei dati delle carte bancarie