Die Compliance basiert auf der Private Cloud Lösung und bietet einige zusätzliche Sicherheitsmaßnahmen wie Token-Validierung kritischer Aktionen auf der Infrastruktur, Access Control Lists (ACL) für den Zugriff auf Verwaltungsinterfaces, tägliche Berichte zu kritischen Vorgängen sowie dedizierte Funktionen zur Verwaltung von Benutzer- und Administrator-Accounts.
Geprüft wurde die Zertifizierung von Provadys, einem qualifizierten Auditor (QSA), der OVH seit dem Start des Compliance-Prozesses zur PCI DSS Zertifizierung unterstützt.
Wie funktioniert die PCI DSS Prüfung von OVH?
Die Verlängerung der Zertifizierung ist das Ergebnis eines dreimonatigen Audits. Die zuständigen OVH Teams wurden von den Auditoren geprüft, um sicherzustellen, dass alle Sicherheitsmaßnahmen der 12 Kapitel des PCI DSS Standards vorhanden und voll wirksam sind. Insgesamt wurden den Prüfern hierzu über 2000 Nachweise vorgelegt.
Bei OVH wird der Audit wie ein eigenständiges Projekt behandelt. Er wird von einem dedizierten Team geleitet und involviert zahlreiche Mitarbeiter, die für das Private Cloud Angebot zuständig sind. Sie waren sowohl bei der Vorbereitung des Audits als auch bei beiden Prüfungsphasen vor Ort involviert und arbeiteten an der Berichterstattung zu den erbrachten Beweisen. Die Zahlen zeigen, wie tiefgehend und vollständig der gesamte Prozess war:
- 275 Compliance Punkte im Standard enthalten
- 209 Kontrollpunkte für OVH
- Prüfung über 3 Monate
- mehr als 50 beteiligte Personen
- 28 Befragungen der technischen Teams
- 2 Besichtigungen der Rechenzentren
- über 2000 vorgelegte Beweise
- ein Compliance-Bericht (ROC) über 370 Seiten
Für OVH waren zwei Ziele maßgeblich: den Audit-Prozess zu industrialisieren (Beweissammlung, Tools zur Kommunikation mit den Prüfern, schnelle Umsetzung der Empfehlungen zur Weiterentwicklung der Sicherheitsstandards) und den Start der Private Cloud Lösungen in den neuen Rechenzentren vorzubereiten, sodass die Sicherheitsstandards weltweit gleich sind – egal ob die Infrastrukturen nun in Roubaix, Straßburg, Beauharnois (Kanada), Singapur, Sydney, England oder Deutschland gehostet sind.
Was ist der PCI DSS Standard?
PCI DSS beinhaltet eine Reihe von Sicherheitsstandards zum Schutz von Bankkartendaten in elektronischen Zahlungssystemen. Der Standard wird vom PCI Security Standard Council, einer professionellen Organisation zuständig für die Kreditkartenmarken VISA, Mastercard, American Express, JCB und Discovery, verwaltet und aktualisiert.
Jede Bank, die Karten an ihre Kunden herausgibt oder Transaktionen für Händler annimmt, darf die von ihren Kunden einzuhaltenden Sicherheitsanforderungen vertraglich festlegen. Der PCI DSS Standard stellt eine gemeinsame Basis dar, die den Großteil dieser Anforderungen abdeckt. PCI DSS ist inzwischen die Referenz für die Sicherheit elektronischer Zahlungssysteme. Jeder Dienstleister, der einen Teil des Zahlungssystems hostet, trägt auch einen Teil der Verantwortung für die allgemeine Sicherheit der Plattform. Diese Pflichten werden vertraglich von den Kartenmarken auf alle Beteiligten einer elektronischen Zahlungsplattform übertragen.
Der PCI DSS Standard enthält etwa 275 Kontroll- und Sicherheitsmerkmale, die eingehalten werden müssen, um Kartendaten sicher zu verarbeiten. Diese Sicherheitsmerkmale sind in 6 Gruppen eingeteilt:
- Erstellung und Verwaltung eines gesicherten Netzwerks und Systems
- Schutz der Karteninhaberdaten
- Verwendung eines Programms zur Verwaltung von Sicherheitslücken
- Implementierung strikter Maßnahmen zur Zugriffskontrolle
- Regelmäßiges Monitoring und Testen von Netzwerken
- Einhaltung einer Datensicherheitsrichtlinie
So werden die Zahlungssysteme OVH Kunden PCI DSS konform
PCI DSS Konformität betrifft die gesamte Zahlungsplattform. Die Zertifizierung der OVH Payment Infrastructure gilt dabei ausschließlich für die von OVH eingerichteten Infrastrukturen. Das bedeutet, dass jede betroffene Partei, die an der Zahlungsplattform beteiligt ist, die Anforderungen des Standards für ihren Verantwortungsbereich einhält und durch ihren Compliance-Prozess den der anderen Beteiligten ergänzt.
Im Rahmen der OVH PCI DSS Payment Infrastructure ist OVH für die Sicherheit der Infrastruktur verantwortlich, während OVH Kunden für die Sicherheit der gehosteten virtuellen Maschinen, der Nutzung der virtuellen Netzwerkfunktionen sowie der Anwendungsschichten auf ihren virtuellen Maschinen zuständig sind. PCI DSS Compliance ist daher eine gemeinsame Aufgabe, bei der die Sicherheitsmaßnahmen der Anwendungsplattform mit denen der Private Cloud Infrastruktur kombiniert werden.
Der PCI DSS Compliance-Prozess eines Zahlungssystems folgt einem strukturierten und komplexen Ablauf, dessen genaue Eigenschaften und Anforderungen von mehreren Faktoren abhängen (Anzahl der jährlich durchgeführten Transaktionen, Typen der akzeptierten Bankkarten, Komplexität der Zahlungsinfrastruktur etc.). Es ist die Aufgabe der Acquirer-Bank, die die Kartenzahlungen für das Konto des Händlers annimmt, die jeweils zutreffenden Anforderungen für den Händler festzulegen und ihm diese mitzuteilen.
Damit OVH Kunden jederzeit ihre Zahlungsinfrastruktur unabhängig von deren Größe und Komplexität einrichten können, haben wir bei OVH uns dazu entschieden, den höchsten PCI DSS Compliance-Level für Zahlungsdienstleister (PSP Level 1) zu gewährleisten. Die Infrastruktur wird außerdem bei jedem Audit nach dem aktuellsten Sicherheitsstandard zertifiziert.
OVH ist ein internationaler Hyperscale Cloud Anbieter und gilt branchenweit als Maßstab in Sachen Usability und Performance. Das Unternehmen wurde 1999 gegründet und betreibt 27 Rechenzentren an 12 Standorten auf 4 Kontinenten sowie ein eigenes Glasfasernetzwerk und umfasst die komplette Produktionskette im Hosting-Bereich. Dank seiner eigenen Infrastrukturen bietet OVH einfache und leistungsstarke Tools und IT-Lösungen und revolutioniert die Arbeit von über einer Million Kunden weltweit. Die Achtung persönlicher Freiheiten und Rechte sowie der chancengleiche Zugang zu neuen Technologien sind von jeher zentraler Bestandteil der Unternehmenswerte. Bei OVH gilt "Innovation is Freedom".
OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Telefon: +49 (681) 906730
Telefax: +49 (681) 8761827
http://www.ovh.de
Alpha & Omega Public Relations
Telefon: +49 (2204) 9879930
E-Mail: M.Hatemo@aopr.de
Marketing & PR Executive
Telefon: +49 (681) 90673216
E-Mail: jens.zeyer@corp.ovh.com