OVH NEWS | ATUALIDADE, INOVAÇÃO E TENDÊNCIAS TI


Descobrir, compreender e antecipar









25/01/2018
Partilhe

Artigo redigido por Julien Levrard


A OVH Payment Infrastructure renovou a Certificação PCI DSS 3.2


No dia 23 de Junho de 2017, a OVH renovou a certificação PCI DSS 3.2 para prestadores de serviços de pagamento Nível 1. Esta norma, criada pela indústria dos cartões de pagamento, é um dos padrões mais exigentes ao nível da proteção da confidencialidade da informação. A certificação da oferta OVH Payment infrastructure PCI DSS foi renovada pelo terceiro ano consecutivo.

A OVH garantiu pelo terceiro ano consecutivo a certificação PCI DSS para a oferta OVH Payment infrastructure PCI DSS.

A conformidade com esta norma abrange a oferta Private Cloud e beneficia de medidas de segurança extra: validação por token das ações críticas efetuadas à infraestrutura; Access Control Lists (ACL), para controlar os acessos às interfaces de administração; ou relatórios diários sobre operações «sensíveis» e funções de gestão das contas dos utilizadores e dos administradores. A auditoria foi realizada pela Provadys, auditor certificado (Qualified Security Acessor / QSA), que trabalha com a OVH desde o momento em que a empresa decidiu implementar a certificação PCI DSS.






Como decorre a auditoria PCI DSS realizada à OVH?


A renovação da certificação é o resultado de uma auditoria que durou três meses. As equipas e os serviços da OVH foram testados pelos auditores, para confirmar a correta implementação dos requisitos de segurança previstos nos 12 capítulos da norma.



Mais de 2000 provas fornecidas aos auditores!
Na OVH, a auditoria é gerida como se fosse um projeto. A operação envolve a dedicação exclusiva de várias equipas, nomeadamente a Equipa da Qualidade, responsável pela coordenação da operação, e os técnicos da oferta Private Cloud. O processo inclui a preparação da auditoria, as duas fases da auditoria in loco, e a prestação de informação e esclarecimentos aos auditores. Os números são impressionantes e provam a credibilidade e o rigor da certificação:



• 275 requisitos de conformidade;
• 209 controlos aplicáveis à OVH;
• 3 meses de auditoria;
• mais de 50 pessoas envolvidas;
• 28 entrevistas realizadas às equipas técnicas;
• 2 visitas aos datacenters;
• Mais de 2000 provas fornecidas aos auditores!
• um relatório de conformidade (ROC) de 370 páginas.



Para além da certificação, a auditoria teve dois objetivos complementares: automatizar o processo da auditoria (recolha de provas, ferramentas para a comunicação com os auditores, adoção rápida das recomendações relacionadas com as evoluções da norma); e alargar estes níveis de segurança aos serviços Private Cloud fornecidos a partir dos novos datacenters, e a todas as infraestruturas OVH: Roubaix, Estrasburgo, Beauharnois (Canadá), Singapura, Sydney (Austrália), Londres (Reino Unido), Frankfurt (Alemanha) e Estados Unidos.



A norma PCI DSS e os seus intervenientes


A normas PCI DSS incluem um conjunto de requisitos de segurança criados para garantir a confidencialidade dos dados dos cartões bancários usados pelos sistemas de pagamento. Estas normas são geridas, mantidas e controladas pelo PCI Council (Payment Card Industry Security Standards Council), uma associação composta pelas marcas: VISA, Mastercard, American Express, JCB e Discovery.



Neste contexto, as entidades bancárias têm várias funções: emitem cartões de pagamento para serem usados pelos clientes detentores de contas bancárias e processam as transações dos comerciantes. As entidades bancárias definem ainda, contratualmente, os requisitos de segurança que deverão ser respeitados pelos outros agentes. As normas PCI DSS consistem em padrões mínimos de segurança definidas pelas marcas dos sistemas de pagamento. Estas regras, impostas por via contratual, são válidas para todos os sistemas de pagamento e respetivos intervenientes. Os fornecedores de alojamento para os sistemas de pagamento são responsáveis pela implementação de parte das regras PCI DSS que contribuem para a segurança global da plataforma.






Em concreto, as normas PCI DSS incluem 275 requisitos para garantir o processamento seguro dos dados dos cartões de pagamento. Estes requisitos estão organizados em 6 categorias:



• criação e gestão de redes e sistemas seguros;
• proteção dos dados do titular;
• programa de controlo de vulnerabilidades;
• implementação de medidas rigorosas para controlar o acesso ao sistema;
• vigilância permanente e testes regulares à rede;
• gestão da segurança das informações.



Estar em conformidade com a norma PCI DSS (clientes OVH)


Os requisitos PCI DSS abrangem todas as dimensões da plataforma de pagamento. Além disso, todos os intervenientes associados à plataforma de pagamento têm de respeitar as exigências relacionadas com a sua atividade de forma articulada.



Ao nível da OVH Payment Infrastructure, a nossa empresa assume a responsabilidade pela segurança da infraestrutura, e os nossos clientes garantem a segurança das máquinas virtuais, das redes virtuais e das aplicações que usam a infraestrutura OVH. O cumprimento da norma PCI DSS resulta, portanto, de um esforço repartido que abrange as medidas de segurança da plataforma e as medidas de segurança da infraestrutura Private Cloud.






O cumprimento da norma PCI DSS por parte de uma aplicação de pagamento é complexo e depende de vários fatores, tais como o número de transações realizadas por ano, os tipos de cartões bancários aceites e a complexidade da infraestrutura geral. Uma das funções do «banco adquirente» (aquele que recebe os pagamentos em nome do comerciante) consiste em definir e comunicar os requisitos que o comerciante deve respeitar.



A OVH implementou o Level 1 PCI DSS, o nível mais elevado da norma, e faz questão de ajustar o serviço à versão mais recente dos requisitos de segurança. Desta forma os nossos clientes podem implementar qualquer tipo de sistema de pagamento, independentemente da sua dimensão ou complexidade, com garantias de conformidade com as últimas exigências de segurança do PCI Security Standards Council.



Contratos e certificações de conformidade


Para explicar as relações contratuais de conformidade, são apresentados abaixo dois exemplos de alojamento de sistemas de pagamento. Estes exemplos abrangem a maioria das situações mas não dispensam a análise rigorosa dos requisitos associados a cada caso particular. De qualquer maneira, existem obrigações comuns a todos os agentes: as responsabilidades têm que ficar registadas em contrato; e o reconhecimento da conformidade dos serviços exige a certificação dos mesmos.



Comerciante que aloja a plataforma de pagamento numa infraestrutura OVH:






Prestador de serviços de pagamento (a comerciantes) que aloja os sistemas numa infraestrutura OVH:






Partilha de responsabilidades


A determinação das responsabilidades e a identificação dos requisitos PCI DSS aplicáveis a um contexto específico requerem um conhecimento aprofundado da norma. Como tal, a OVH recomenda a consulta de um agente QSA (Qualified Security Assessor), que poderá dar as orientações necessárias ao cumprimento dos procedimentos.



De qualquer maneira, para facilitar o processo e torná-lo mais transparente, a OVH criou uma oferta padronizada, com regras claras em termos da partilha de responsabilidades, que podem ser vistas abaixo:



Programa de gestão das vulnerabilidades



Requisito PCI DSS - Condição 1



Instalar e gerir uma firewall para proteger os dados do titular



Responsabilidades OVH / Cliente



OVH: configuração dos equipamentos físicos e disponibilização de funcionalidades de gestão da rede para os clientes.



Cliente: configuração da rede virtual num datacenter virtual.



Requisito PCI DSS - Condição 2



Não usar palavras-passe do sistema ou outros parâmetros de segurança predefinidos pelo fornecedor



Responsabilidades OVH / Cliente



OVH: equipamentos da infraestrutura (rede, hipervisores, servidores e bases de dados da infraestrutura de virtualização e de gestão do serviço)



Cliente: máquinas virtuais e aplicações alojadas na Private Cloud



Proteção dos dados do titular



Requisito PCI DSS - Condição 3



Proteger os dados do titular armazenados pelo sistema



Responsabilidades OVH / Cliente



Responsabilidade exclusiva do cliente ao nível da arquitetura das aplicações.



Requisito PCI DSS - Condição 4



Encriptar a transmissão dos dados do titular nas redes públicas abertas



Responsabilidades OVH / Cliente



Responsabilidade exclusiva do cliente ao nível da arquitetura das aplicações.



Programa de gestão das vulnerabilidades



Requisito PCI DSS - Condição 5



Proteger todos os sistemas contra software malicioso e atualizar com frequência antivírus e outros programas.



Responsabilidades OVH / Cliente



OVH: hipervisores, servidores e bases de dados da infraestrutura de virtualização e gestão do serviço.



Cliente: máquinas virtuais alojadas na Private Cloud.



Requisito PCI DSS - Condição 6



Desenvolver e gerir sistemas e aplicações seguras



Responsabilidades OVH / Cliente



OVH: interfaces de gestão disponibilizadas aos clientes, bots e sistemas de gestão do serviço.



Cliente: aplicações e scripts executados nas máquinas virtuais alojadas na Private Cloud.



Implementação de medidas rigorosas para controlar o acesso ao sistema



Requisito PCI DSS - Condição 7



Limitar acesso aos dados do titular aos indivíduos que necessitam impreterivelmente de aceder aos mesmos.



Responsabilidades OVH / Cliente



OVH: equipamentos da infraestrutura (rede, hipervisores, servidores e bases de dados da infraestrutura de virtualização e gestão do serviço).



Cliente: máquinas virtuais e aplicações alojadas na Private Cloud.



Requisito PCI DSS - Condição 8



Identificar e autenticar o acesso aos componentes do sistema



Responsabilidades OVH / Cliente



OVH: equipamentos da infraestrutura (rede, hipervisores, servidores e bases de dados da infraestrutura de virtualização e gestão do serviço).



Cliente: máquinas virtuais e aplicações alojadas na Private Cloud.



Requisito PCI DSS - Condição 9



Restringir o acesso físico aos dados do titular



Responsabilidades OVH / Cliente



Responsabilidade exclusiva da OVH ao nível alojamento físico da plataforma.



Vigilância permanente e testes regulares à rede



Requisito PCI DSS - Condição 10



Controlar/monitorizar os acessos aos recursos de rede e aos dados do titular



Responsabilidades OVH / Cliente



OVH: equipamentos da infraestrutura (rede, hipervisores, servidores e bases de dados da infraestrutura de virtualização e gestão do serviço).



Cliente: máquinas virtuais e aplicações alojadas na Private Cloud.



Requisito PCI DSS - Condição 11



Testar regularmente os processos e os sistemas de segurança



Responsabilidades OVH / Cliente



OVH: equipamentos da infraestrutura (rede, hipervisores, servidores e bases de dados da infraestrutura de virtualização e gestão do serviço).



Cliente: máquinas virtuais e aplicações alojadas na Private Cloud.



Gestão da segurança das informações



Requisito PCI DSS - Condição 12



Garantir a comunicação e cumprimento das normas de segurança por parte do pessoal com acesso ao sistema



Responsabilidades OVH / Cliente



OVH: equipas responsáveis pelo desenvolvimento, pela automatização, pelo funcionamento e pela assistência da oferta Private Cloud. Este domínio abrange todos os processos associados à implementação do serviço.



Cliente: funcionamento da aplicação que processa os dados dos cartões de pagamento.