Standard PCI DSS

12 exigences pour la sécurité des données de cartes bancaires

Qu'est-ce que le standard PCI DSS ?

PCI DSS est un référentiel d'exigences de sécurité visant à garantir la confidentialité des données de cartes bancaires dans les systèmes d'information les utilisant. Le référentiel est édité et maintenu par le PCI Council, un groupement professionnel des marques de cartes de paiement VISA, Mastercard, American Express, JCB et Discovery.

Qui sont les acteurs d’un système d’information monétique :

  • Porteur de carte : titulaire de la carte et du compte associé (client final)
  • Émetteur : banque du titulaire de la carte
  • Marchand : commerçant qui accepte la carte comme moyen de paiement
  • Acquéreur : banque du marchand faisant l’acquisition des transactions
  • Marque de carte : tiers de confiance assurant la relation entre les acteurs d’une transaction (Visa, Mastercard, American Express, etc.…)
  • Prestataires X de services de paiement (PSP) : tous les autres intermédiaires de la chaine monétique. En tant que fournisseur d’IaaS, OVH est PSP

Chaque banque émettant des cartes pour ses clients titulaires d'une CB ou collectant des transactions pour ses clients marchants est libre de définir contractuellement les exigences de sécurité à respecter par ses clients et partenaires. Le standard PCI DSS définit une base de sécurité commune couvrant la majeure partie des exigences. Le standard PCI DSS est devenu la référence en sécurité des systèmes monétiques et son respect, une exigence systématique pour les acteurs des systèmes de paiement. Chaque acteur de la chaine d'hébergement du système monétique porte une partie des responsabilités permettant d'assurer la sécurité globale de la plateforme. Ces obligations sont transférées contractuellement depuis les marques de cartes à tous les acteurs de la plateforme monétique.

Concrètement, le standard PCI DSS liste plus de 250 points de contrôles et dispositifs de sécurité à mettre en place pour traiter des numéros de carte bancaire en toute sécurité. Ces points de contrôles sont classés en 6 groupes :

  • Création et gestion d’un réseau et d’un système sécurisé

    Condition 1 : installer et gérer une configuration de pare-feu pour protéger les données du titulaire
    Condition 2 : ne pas utiliser les mots de passe système et autres paramètres de sécurité́ par défaut définis par le fournisseur
  • Protection des données du titulaire

    Condition 3 : protéger les données du titulaire stockées
    Condition 4 : crypter la transmission des données du titulaire sur les réseaux publics ouverts
  • Gestion d’un programme de gestion des vulnérabilités

    Condition 5 : protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels anti-virus ou programmes
    Condition 6 : développer et gérer des systèmes et des applications sécurisées
  • Mises-en œuvre de mesures de contrôle d’accès strictes

    Condition 7 : restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaître
    Condition 8 : identifier et authentifier l’accès aux composants du système
    Condition 9 : restreindre l’accès physique aux données du titulaire
  • Surveillance et tests réguliers des réseaux

    Condition 10 : effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaire
    Condition 11 : tester régulièrement les processus et les systèmes de sécurité
  • Gestion d’une politique de sécurité des informations

    Condition 12 : maintenir une politique qui adresse les informations de sécurité pour l'ensemble du personnel

Comment être conforme à PCI DSS

La conformité à PCI DSS porte sur l'ensemble de la plateforme monétique et est porté par le marchand en s’appuyant sur les briques conformes à PCI DSS de ses fournisseurs. Cela implique que chaque acteur impliqué dans l'exploitation de la plateforme respecte les exigences du standard qui sont pertinentes par rapport à ses activités et démontre cette conformité à ses clients.

Dans le cadre d'OVH Payment Infrastructure PCI DSS, OVH est responsable de la sécurité de l'infrastructure, vous restez responsables de la sécurité des machines virtuelles hébergées, de l'utilisation des fonctions de réseaux virtuelles et les couches applicatives déployées sur vos machines virtuelles. La conformité à PCI DSS est donc un effort conjoint pour combiner les mesures de sécurité de votre plateforme applicative et système ainsi que celles de l'infrastructure Private Cloud.

La conformité à PCI DSS peut être certifiée par le biais d’une Attestation de Conformité (AoC) établie à l’issue d’un questionnaire d’autoévaluation ou d’un audit par une ou plusieurs sociétés QSA (Qualified Security Assessor).

La conformité de votre plateforme au standard PCI DSS est une démarche structurée, dont les caractéristiques et les obligations dépendent de nombreux facteurs :

  • Nombre de transactions réalisées annuellement
  • Type(s) de carte(s) bancaire(s) acceptée(s)
  • Banque(s) acquisitrice(s)
  • Complexité de l’infrastructure monétique

Se mettre en conformité avec PCI DSS implique de se rapprocher des acteurs concernés pour connaître leurs attentes précises. OVH recommande de contacter votre banque acquisitrice et/ou de faire appel à une société QSA pour vous accompagner dans ces démarches.

Niveau de reporting VISA

Niveau Description Obligations
1 > 6M de transactions /an Audit par un QSA
Scan trimestriel par un prestataire de scan approuvé (ASV)
Attestation de conformité
2 1M < x < 6M de transactions /an Questionnaire d'autoévaluation
Scan trimestriel par un prestataire de scan approuvé (ASV)
Attestation de conformité
3/4 x < 1M de transactions /an Défini et contrôlé par chaque banque

source : https://www.visaeurope.com/receiving-payments/security/merchants
Ces données sont fournies à titre d‘information. Seule votre banque acquisitrice peut vous fournir les informations adaptées à votre contexte.

OVH fait auditer annuellement sa plateforme par une société QSA et met à votre disposition les documents issus de l'audit permettant de :

  • Comprendre quelles exigences sont couvertes par notre certification
  • Définir les exigences que vous devez couvrir
  • Démontrer à votre QSA que la totalité des exigences applicables sont prises en compte par OVH et conforme à PCI DSS

Par ailleurs, OVH vous aide dans l’atteinte de votre conformité grâce à son équipe d’experts et la mise à disposition de documents d’accompagnement :

  • Matrice de répartition des responsabilités PCI DSS
  • Conditions particulières précisant la responsabilité d’OVH
  • Modèle de cahier des charges pour la réalisation des tests d’intrusion obligatoires

Matrice de responsabilité

Cette matrice de responsabilités décrit les responsabilité d’OVH et du Client par rapport aux exigences du standard PCI DSS pour vous permettre d’anticiper l’effort de conformité restant à votre charge. Seul l’analyse détaillée de l’Attestation de Conformité fournie sur demande à la souscription du service vous permet de disposer de l’ensemble des informations nécessaire pour mettre en œuvre votre démarche de mise en conformité.

Création et gestion d’un réseau et d’un système sécurisé
Condition 1 : Installer et gérer une configuration de pare-feu pour protéger les données du titulaire OVH pour le réseau physique
Le Client pour les fonctions de réseaux virtuelles au sein du DC virtuel
Condition 2 : Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur OVH pour les équipements d'infrastructures Le Client pour les machines virtuelles et les applications
Protection des données du titulaire
Condition 3 : Protéger les données du titulaire stockées Responsabilité exclusive du client liée à son implémentation
Condition 4 : Crypter la transmission des données du titulaire sur les réseaux publics ouverts Responsabilité exclusive du client liée à son implémentation
Gestion d’un programme de gestion des vulnérabilités
Condition 5 : Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels anti-virus ou programmes OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications
Condition 6 : Développer et gérer des systèmes et des applications sécurisées OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications
Mises-en œuvre de mesures de contrôle d’accès strictes
Condition 7 : Restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaître OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications
Condition 8 : Identifier et authentifier l’accès aux composants du système OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications
Condition 9 : Restreindre l’accès physique aux données du titulaire Responsabilité exclusive d'OVH pour l'hébergement physique de la plateforme
Surveillance et test réguliers des réseaux
Condition 10 : Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaire OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications
Condition 11 : Tester régulièrement les processus et les systèmes de sécurité OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications
Gestion d’une politique de sécurité des informations
Condition 12 : Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnel OVH pour les équipements d'infrastructures
Le Client pour les machines virtuelles et les applications

OVH Payment infrastructure facts sheet

  • Prestataire de Paiement (PSP) Level 1
  • PCI DSS V3.2
  • QSA Provadys
  • Option PCI DSS disponible sur la base OVH Payment Infrastructure. Upgrade possible depuis n’importe quelle infrastructure SDDC
  • Périmètre : Domaines de responsabilité d’OVH (voir matrice de partage de responsabilité)

Vision schématique

Ci-dessous deux cas simples de chaines d’hébergement monétiques pour expliciter les relations contractuelles et le reporting conformité. Chaque cas est particulier et nécessite une analyse approfondie mais la plupart des situations vont être proches de l’un des deux modèles suivants.

Vous êtes un marchand hébergeant votre plateforme sur une infrastructure OVH PCI DSS :

Vous êtes un Prestataire de Services de Paiement (PSP) hébergeant des systèmes sur une infrastructure OVH PCI DSS. Vos clients sont des marchands.