OVH | ACTUALIDAD, INNOVACIÓN Y TENDENCIAS IT


Descubrir, entender y anticiparse









12/01/2018
Compartir

Artículo redactado por Julien Levrard


La infraestructura de pago de OVH avalada por la certificación PCI DSS 3.2


El pasado 23 de junio, OVH obtuvo la renovación de su aval de conformidad con la norma PCI DSS 3.2 como proveedor de servicios de pago de primer nivel. Este Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard) o PCI DSS, es uno de los más exigentes con respecto a la protección de la confidencialidad de datos, y OVH lo obtiene por tercera vez consecutiva para su infraestructura de pago PCI DSS.

El pasado 23 de junio, OVH obtuvo la renovación de su aval de conformidad con la norma PCI DSS 3.2 como proveedor de servicios de pago de primer nivel. Este Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard) o PCI DSS, es uno de los más exigentes con respecto a la protección de la confidencialidad de datos, y OVH la obtiene por tercera vez consecutiva para su Infraestructura de pago PCI DSS.

Esta conformidad está basada en la solución Private Cloud y dispone de dispositivos de seguridad adicionales tales como los tokens de autenticación en la infraestructura, las listas de control de acceso (Access Control Lists) o ACL para las interfaces de administración, los informes diarios sobre las acciones sensibles y las funciones dedicadas de las cuentas de usuarios y de administradores.
La auditoría fue llevada a cabo por la compañía auditora Provadys, especializada en ciberseguridad, que asesora a OVH desde el inicio del su proyecto de adquisición de conformidad con la norma PCI DSS.







¿Cómo se desarrolla una auditoría PCI DSS en OVH?


La renovación de este aval es el resultado de una auditoría de tres meses. Los equipos de OVH a cargo de la solución Private Cloud fueron evaluados por nuestros auditores con la finalidad de garantizar el cumplimiento eficiente de las medidas de seguridad establecidas en las doce cláusulas de la norma.



¡Los auditores recibieron más de 2 mil pruebas!
En OVH, la auditoría se gestiona como un proyecto independiente controlado por el equipo de calidad, e incluye a todos los operativos a cargo de la solución Private Cloud. Los equipos se movilizaron para responder a todas las preguntas y realizar todas las pruebas presentadas por los auditores durante la preparación y todas las etapas del proceso. Las cifras son impresionantes, y dan fe de la seriedad y la exhaustividad con que se desarrollaron los acontecimientos:



  • 275 puntos de conformidad con la norma;
  • 209 puntos de control aplicables a OVH;
  • 3 meses de auditoría;
  • más de 50 personas implicadas;
  • 28 entrevistas realizadas a los equipos técnicos;
  • 2 visitas realizadas a los centros de datos;
  • más de 2 mil pruebas entregadas a los auditores;
  • un informe de conformidad de 370 páginas.



Al mismo tiempo, perseguíamos otros dos objetivos: industrializar el proceso de auditoría (recogida de pruebas, herramientas de comunicación con los auditores, rápida consideración de las recomendaciones asociadas a la actualización de la norma), y prepararnos para el lanzamiento de la oferta Public Cloud en nuestras nuevas localizaciones, con el mismo nivel de seguridad y conformidad de las infraestructuras alojadas en nuestros centros de datos ya establecidos.



¿Qué es la norma PCI DSS?


PCI DSS es un conjunto referencial de exigencias relativas a la seguridad, orientado a garantizar la protección de los datos asociados a las tarjetas de pago en los sistemas de información donde estas son utilizadas. Este conjunto de exigencias es actualizado por el PCI Council, una agrupación profesional de marcas de tarjetas de pago VISA, Mastercard, American Express, JCB y Discovery.



Cada institución financiera que emite tarjetas de pago para sus clientes titulares de una cuenta bancaria, o que recoge transacciones para sus clientes vendedores, puede definir, de forma contractual, los requisitos de seguridad que sus clientes deben cumplir. La norma PCI DSS define una base de seguridad común que cubre la mayor parte de estas exigencias. Esta norma se ha convertido en la referencia en materia de seguridad y en una exigencia reglamentada para los sistemas de pago. Cada uno de los elementos de la cadena de alojamiento del sistema de pago tiene una responsabilidad en el cumplimiento de estas obligaciones, lo cual garantiza la seguridad global de la plataforma. Dichas obligaciones se transfieren a todos los integrantes de la plataforma de pago, de forma contractual, a partir de las marcas.






Concretando, la norma PCI DSS agrupa alrededor de 275 puntos de control y dispositivos de seguridad a implementar para el procesamiento, en total seguridad, de los datos de las tarjetas bancarias. Estos puntos de control se clasifican en seis grupos:



  • creación y gestión de una red y de un sistema seguro;
  • protección de los datos del titular;
  • supervisión de un programa de gestión de vulnerabilidad;
  • aplicación de medidas estrictas de control de acceso;
  • monitoreo regular de las redes;
  • gestión de una política de seguridad de datos.



¿Cómo adquirir la conformidad con la norma PCI DSS para los clientes de OVH?


La conformidad con la norma PCI DSS abarca la plataforma de pago en su totalidad, mientras que la certificación de la infraestructura de pago de OVH abarca exclusivamente las infraestructuras implementadas por OVH, lo cual implica que cada actor involucrado en la explotación de la plataforma debe respetar las exigencias de la norma en su dominio, y establecer el cumplimiento de la conformidad como complemento de las obligaciones de los otros actores.



En el marco de la infraestructura de pago de OVH, OVH es responsable de la protección de la infraestructura, mientras que el cliente de OVH responde por la seguridad de las máquinas virtuales alojadas, el uso de las funciones de la red virtual y de las capas aplicativas desplegadas en dichas máquinas virtuales. La conformidad con la norma PCI DSS es, por tanto, el resultado de un esfuerzo conjunto en aras de combinar las medidas de seguridad de la plataforma aplicativa y las de la infraestructura Private Cloud.






La conformidad de una aplicación de pago con la norma PCI DSS es un procedimiento estructurado y complejo, cuyas características dependen de numerosos factores, tales como la cantidad de transacciones efectuadas anualmente, los tipos de tarjetas bacarias aceptadas y la complejidad de la infraestructura general. Uno de los roles del "banco adquiriente", es decir, del banco que recibe los pagos a nombre del comerciante, consiste en definir y comunicar las exigencias que este último debe cumplir.



Con la finalidad de permitir a sus clientes la puesta en marcha de sus infraestructuras de pago, independientemente de su envergadura o de su complejidad, OVH ha decidido implementar el más alto nivel de conformidad con la norma PCI DSS como proveedor de servicio de pago (PSP Level 1) con el compromiso de adquirir el certificado de la versión más reciente de la norma a la fecha de la auditoría.



Contratos y aval de conformidad


Cada caso de uso tiene sus particularidades, pero la mayoría de las situaciones tienen semejanzas con uno de los dos modelos siguientes. Las obligaciones de adquisición de la conformidad son impuestas a través de los contratos entre los actores, las pruebas de conformidad se entregan sobre la base del aval de conformidad.



Para un vendedor que aloje su infraestructura de pago en OVH:






Para un proveedor de servicios de pago (PSP) que aloje sus sistemas en una infraestructura de OVH y cuyos clientes sean vendedores:






Distribución de las responsabilidades


La determinación de las responsabilidades detalladas de nuestros clientes, es un ejercicio complejo. La identificación de las exigencias de la norma PCI DSS aplicables a un contexto en particular requiere la comprensión del sistema referencial. En este sentido, recomendamos a nuestros clientes recurrir al asesoramiento de una institución de auditoría reconocida (QSA) para este tipo de análisis.



Por el contrario, la distribución de responsabilidades entre OVH y sus clientes está concebida de una forma clara y precisa, gracias a la estandarización de nuestra oferta y a una fuerte segmentación de las áreas de responsabilidades operativas entre OVH y sus clientes. Con respecto a la norma PCI DSS, la distribución de responsabilidades es la siguiente:



Administración de un programa de gestión de vulnerabilidades



Requisito PCI DSS - Condición No. 1



Instalar y gestionar una configuración de cortafuegos para proteger los datos del titular.



Responsabilidades



OVH es responsable de la configuración de los equipos físicos y la disponibilidad de las funciones de gestión de la red para los clientes.



El Cliente es responsable de la configuración de la red virtual en el centro de datos virtual.



Requisito PCI DSS - Condición No. 2



No utilizar las contraseñas del sistema u otros parámetros de seguridad establecidos por defecto por el proveedor.



Responsabilidades



OVH es responsable de los equipos de infraestructuras (red, hipervisores, servidores y bases de datos de la infraestructura de virtualización y de gestión del servicio).



El Cliente es responsable de las máquinas virtuales y de las aplicaciones alojadas en el Private Cloud.



Protección de datos del titular



Requisito PCI DSS - Condición No. 3



Proteger los datos almacenados del titular



Responsabilidades



Responsabilidad exclusiva del Cliente asociada a su arquitectura aplicativa.



Requisito PCI DSS - Condición No. 4



Encriptar la transmisión de los datos del titular en las redes públicas abiertas.



Responsabilidades



Responsabilidad exclusiva del Cliente asociada a su arquitectura aplicativa.



Administración de un programa de gestión de vulnerabilidades



Requisito PCI DSS - Condición No. 5



Proteger todos los sistemas contra los programas malintencionados y actualizar con regularidad el software anti-virus y los programas



Responsabilidades



OVH es responsable de los equipos de infraestructuras (red, hipervisores, servidores y bases de datos de la infraestructura de virtualización y de gestión del servicio).



El Cliente es responsable de las máquinas virtuales y de las aplicaciones alojadas en el Private Cloud.



Requisito PCI DSS - Condición No. 6



Desarrollar y gestionar sistemas y aplicaciones seguras



Responsabilidades



OVH es responsable de las interfaces de gestión a disposición de sus clientes, los robots y los sistemas de gestión del servicio.



El Cliente es responsable de las aplicaciones y los scripts ejecutados en las máquinas virtuales alojadas en el Private Cloud.



Aplicación de medidas estrictas de control de acceso



Requisito PCI DSS - Condición No. 7



Restringir el acceso a los datos del titular (acceso disponible exclusivamente para aquellos individuos que deban tenerlo)



Responsabilidades



OVH es responsable de los equipos de infraestructuras (red, hipervisores, servidores y bases de datos de la infraestructura de virtualización y de gestión del servicio).



El Cliente es responsable de las máquinas virtuales y de las aplicaciones alojadas en el Private Cloud.



Requisito PCI DSS - Condición No. 8



Identificar y autenticar el acceso a los componentes del sistema



Responsabilidades



OVH es responsable de los equipos de infraestructuras (red, hipervisores, servidores y bases de datos de la infraestructura de virtualización y de gestión del servicio).



El Cliente es responsable de las máquinas virtuales y de las aplicaciones alojadas en el Private Cloud.



Requisito PCI DSS - Condición No. 9



Restringir el acceso físico a los datos del titular



Responsabilidades



Responsabilidad exclusiva de OVH asociada al alojamiento físico de la plataforma.



Monitoreo y pruebas regulares de las redes



Requisito PCI DSS - Condición No. 10



Efectuar el monitoreo de todos los accesos a los recursos de red y a los datos del titular



Responsabilidades



OVH es responsable de los equipos de infraestructuras (red, hipervisores, servidores y bases de datos de la infraestructura de virtualización y de gestión del servicio).



El Cliente es responsable de las máquinas virtuales y de las aplicaciones alojadas en el Private Cloud.



Requisito PCI DSS - Condición No. 11



Probar con regularidad los procesos y los sistemas de seguridad



Responsabilidades



OVH es responsable de los equipos de infraestructuras (red, hipervisores, servidores y bases de datos de la infraestructura de virtualización y de gestión del servicio).



El Cliente es responsable de las máquinas virtuales y de las aplicaciones alojadas en el Private Cloud.



Gestión de una política de seguridad de datos



Requisito PCI DSS - Condición No. 12



Mantener una política que abarque la información de seguridad para todo el personal



Responsabilidades



OVH es responsable de los equipos a cargo del desarrollo, la industrialización, la explotación y el soporte de la solución Private Cloud. La política abarca todos los procesos que permiten la implementación del servicio.



El Cliente es responsable del funcionamiento de la aplicación asociada al procesamiento de datos de las tarjetas de pago.