OVH Payment Infrastructure certifiée PCI DSS 3.2

Temps de lecture estimé : 6 minute(s)

*Attention, ce contenu a été publié il y a 1 année. Il n'est peut-être plus d'actualité.*

Le 23 juin dernier, OVH a obtenu le renouvellement de son attestation de conformité au standard PCI DSS 3.2 en tant que prestataire de service de paiement Level 1. Ce standard de sécurité émanant de l’industrie des cartes de paiement est l’une des plus exigeante en termes de protection de la confidentialité de l’information. Elle a été obtenue pour la 3e année consécutive pour l’offre OVH Payment infrastructure PCI DSS.

La conformité est construite sur le socle de l’offre Private Cloud et bénéficie de dispositifs de sécurité additionnels tels que la validation par token des actions critiques sur l’infrastructure, les ACL d’accès aux interfaces d’administration, les rapports quotidiens sur les actions sensibles et les fonctions dédiées de gestion des comptes utilisateurs et administrateurs.

L’audit a été mené le cabinet Provadys, auditeur qualifié (QSA), qui accompagne OVH depuis le début de son projet de mise en conformité à PCI DSS.

Comment se déroule l’audit PCI DSS d’OVH ?

Le renouvellement de cette attestation est le résultat d’un audit de trois mois.  Les équipes d’OVH en charge de l’offre ont été mises à l’épreuve par nos auditeurs afin de s’assurer que l’ensemble des mesures de sécurité des 12 chapitres du standard étaient en place et pleinement efficaces.

Plus de 2000 preuves fournies aux auditeurs !

Au sein d’OVH, l’audit est géré comme un projet à part entière, piloté par l’équipe qualité et impliquant les nombreux opérationnels en charge de l’offre Private Cloud. L’audit a mobilisé très fortement les équipes afin de répondre à toutes les questions et tests des auditeurs. Une mobilisation entretenue durant la préparation de l’audit, les deux phases d’audit sur site et les nombreux échanges sur les preuves fournies. Les chiffres sont impressionnants et démontrent le sérieux et l’exhaustivité de la démarche :

  • 275 points de conformité dans le standard ;
  • 209 points de contrôles applicables à OVH ;
  • 3 mois d’audit ;
  • plus de 50 personnes impliquées ;
  • 28 interviews des équipes techniques ;
  • 2 visites des datacenters ;
  • plus de 2 000 preuves fournies aux auditeurs ;
  • un rapport de conformité (ROC) de 370 pages.

En parallèle, nous avions deux objectifs complémentaires : industrialiser la démarche d’audit (collecte des preuves, outillage pour la communication avec les auditeurs, prise en compte rapide des recommandations liées aux évolutions du standard) et nous préparer à l’ouverture de l’offre Private Cloud dans nos nouveaux datacenters, avec le même niveau de sécurité et conformité que les infrastructures soient hébergées à Roubaix, Strasbourg, Beauharnois (Canada), Singapour, Sidney, en Angleterre ou en Allemagne.

Qu’est-ce que le standard PCI DSS ?

PCI DSS est un référentiel d’exigences sécurité visant à garantir la sécurité des données de carte bancaire dans les systèmes d’information les utilisant. Le référentiel est édité et maintenu par le PCI Council, un groupement professionnel des marques de carte de paiement VISA, Mastercard, American Express, JCB et Discovery.

Chaque banque émettant des cartes pour ses clients titulaires d’une CB ou collectant des transactions pour ses clients marchands est libre de définir contractuellement les exigences de sécurité à respecter par ses clients. Le standard PCI DSS définit une base de sécurité commune couvrant la majeure partie des exigences. Il est devenu la référence en sécurité et une exigence systématique pour les systèmes de paiement. Chaque acteur de la chaine d’hébergement du système monétique porte une partie des responsabilités, permettant d’assurer la sécurité globale de la plateforme. Ces obligations sont transférées contractuellement depuis les marques de cartes à tous les acteurs de la plateforme monétique.

Concrètement, le standard PCI DSS liste environ 275 points de contrôles et dispositifs de sécurité à mettre en place pour traiter des numéros de carte bancaire en toute sécurité. Ces points de contrôles sont classés en 6 groupes :

  • création et gestion d’un réseau et d’un système sécurisé ;
  • protection des données du titulaire ;
  • gestion d’un programme de gestion des vulnérabilités ;
  • mises-en œuvre de mesures de contrôle d’accès strictes ;
  • surveillance et test réguliers des réseaux ;
  • gestion d’une politique de sécurité des informations.

Comment être conforme à PCI DSS pour les clients d’OVH ?

La conformité à PCI DSS porte sur l’ensemble de plateforme monétique alors que la certification d’OVH Payement infrastructure porte sur les infrastructures mises en place par OVH uniquement. Cela implique que chaque acteur impliqué dans l’exploitation de la plateforme respecte les exigences du standard sur son domaine de responsabilité et porte sa démarche de conformité en complément de celles des autres acteurs.

Dans le cadre d’OVH Payment Infrastructure, OVH est responsable de la sécurité de l’infrastructure, le client d’OVH est responsable de la sécurité des machines virtuelles hébergées, de l’utilisation des fonctions de réseau virtuel et des couches applicatives déployées sur ses machines virtuelles. La conformité à PCI DSS résulte donc d’effort conjoint pour combiner les mesures de sécurité de la plateforme applicative et celles de l’infrastructure Private Cloud.

La conformité d’une application monétique au standard PCI DSS est une démarche structurée et complexe, dont les caractéristiques dépendent de nombreux facteurs, comme le nombre de transactions réalisées annuellement, les types de cartes bancaires acceptées et la complexité de l’infrastructure générale. C’est un des rôles de la « banque acquéreuse », celle qui reçoit les paiements pour le compte du marchand, de définir et communiquer les exigences que le marchand doit respecter.

Afin de permettre à nos clients de mettre en œuvre leurs infrastructures monétiques quelles que soient leur taille et leur complexité, OVH a fait le choix de mettre en œuvre le plus haut niveau de conformité à PCI DSS pour un prestataire de service de paiement (PSP Level 1) et a pris le parti de toujours se faire certifier sur la version la plus récente du standard à la date de l’audit.

Des contrats et des attestations de conformité

Chaque cas client est particulier, mais la plupart des situations vont être proches de l’un des deux modèles suivants. Les obligations de mise en conformité sont imposées par les contrats entre les acteurs, les preuves de la conformité sont fournies sur la bases des attestations de conformité.

Pour un marchand hébergeant sa plateforme de paiement sur une infrastructure OVH :

 

Pour un prestataire de service de paiement (PSP) hébergeant des systèmes sur une infrastructure OVH et dont les clients sont des marchands :

 

Le partage des responsabilités

Déterminer les responsabilités détaillées de nos clients est un exercice complexe. Identifier les exigences de PCI DSS applicables à un contexte particulier nécessite de très bien comprendre le référentiel. Nous recommandons à nos clients de faire appel à une société QSA pour les accompagner dans cette analyse.

A l’inverse, le partage de responsabilités entre OVH et ses clients est conçu pour être le plus clair possible grâce à la standardisation de notre offre et une segmentation forte entre les zones de responsabilités opérationnelles entre OVH et ses clients. Vu du prisme PCI DSS, le partage de responsabilité est le suivant :

Matrice de responsabilité PCI DSS
Matrice de responsabilité PCI DSS

Responsable conformité OVH Group

Leave a reply:

Your email address will not be published.