OVH NEWS | Aktuelles, Innovationen und IT Trends








8. Februar 2018
Teilen

Geschrieben von OVH Team


OVH Payment Infrastructure zertifiziert nach PCI DSS 3.2


Am 23. Juni 2017 wurde die PCI DSS 3.2 Zertifizierung von OVH als Zahlungsdienstleister Level 1 zuletzt erneuert. Für den Schutz sensibler Daten  ist PCI DSS einer der höchsten Sicherheitsstandards der Kreditkartenindustrie. Mit OVH Payment Infrastructure erhielt das Unternehmen die Zertifizierung das 3. Jahr in Folge.

Die Compliance basiert auf der Private Cloud Lösung und bietet einige zusätzliche Sicherheitsmaßnahmen wie Token-Validierung kritischer Aktionen auf der Infrastruktur, Access Control Lists (ACL) für den Zugriff auf Verwaltungsinterfaces, tägliche Berichte zu kritischen Vorgängen sowie dedizierte Funktionen zur Verwaltung von Benutzer- und Administrator-Accounts.

Geprüft wurde die Zertifizierung von Provadys, einem qualifizierten Auditor (QSA), der OVH seit dem Start des Compliance-Prozesses zur PCI DSS Zertifizierung unterstützt.

Wie funktioniert die PCI DSS Prüfung von OVH?

Die Verlängerung der Zertifizierung ist das Ergebnis eines dreimonatigen Audits. Die zuständigen OVH Teams wurden von den Auditoren geprüft, um sicherzustellen, dass alle Sicherheitsmaßnahmen der 12 Kapitel des PCI DSS Standards vorhanden und voll wirksam sind. Insgesamt wurden den Prüfern hierzu über 2000 Nachweise vorgelegt.

Bei OVH wird der Audit wie ein eigenständiges Projekt behandelt. Er wird von einem dedizierten Team geleitet und involviert zahlreiche Mitarbeiter, die für das Private Cloud Angebot zuständig sind. Sie waren sowohl bei der Vorbereitung des Audits als auch bei beiden Prüfungsphasen vor Ort involviert und arbeiteten an der Berichterstattung zu den erbrachten Beweisen. Die Zahlen zeigen, wie tiefgehend und vollständig der gesamte Prozess war:

  • 275 Compliance Punkte im Standard enthalten
  • 209 Kontrollpunkte für OVH
  • Prüfung über 3 Monate
  • mehr als 50 beteiligte Personen
  • 28 Befragungen der technischen Teams
  • 2 Besichtigungen der Rechenzentren
  • über 2000 vorgelegte Beweise
  • ein Compliance-Bericht (ROC) über 370 Seiten

Für OVH waren zwei Ziele maßgeblich: den Audit-Prozess zu industrialisieren (Beweissammlung, Tools zur Kommunikation mit den Prüfern, schnelle Umsetzung der Empfehlungen zur Weiterentwicklung der Sicherheitsstandards) und den Start der Private Cloud Lösungen in den neuen Rechenzentren vorzubereiten, sodass die Sicherheitsstandards weltweit gleich sind – egal ob die Infrastrukturen nun in Roubaix, Straßburg, Beauharnois (Kanada), Singapur, Sydney, England oder Deutschland gehostet sind.

Was ist der PCI DSS Standard?

PCI DSS beinhaltet eine Reihe von Sicherheitsstandards zum Schutz von Bankkartendaten in elektronischen Zahlungssystemen. Der Standard wird vom PCI Security Standard Council, einer professionellen Organisation zuständig für die Kreditkartenmarken VISA, Mastercard, American Express, JCB und Discovery, verwaltet und aktualisiert.

Jede Bank, die Karten an ihre Kunden herausgibt oder Transaktionen für Händler annimmt, darf die von ihren Kunden einzuhaltenden Sicherheitsanforderungen vertraglich festlegen.  Der PCI DSS Standard stellt eine gemeinsame Basis dar, die den Großteil dieser Anforderungen abdeckt. PCI DSS ist inzwischen die Referenz für die Sicherheit elektronischer Zahlungssysteme. Jeder Dienstleister, der einen Teil des Zahlungssystems hostet, trägt auch einen Teil der Verantwortung für die allgemeine Sicherheit der Plattform. Diese Pflichten werden vertraglich von den Kartenmarken auf alle Beteiligten einer elektronischen Zahlungsplattform übertragen.

Der PCI DSS Standard enthält etwa 275 Kontroll- und Sicherheitsmerkmale, die eingehalten werden müssen, um Kartendaten sicher zu verarbeiten. Diese Sicherheitsmerkmale sind in 6 Gruppen eingeteilt:

  • Erstellung und Verwaltung eines gesicherten Netzwerks und Systems
  • Schutz der Karteninhaberdaten
  • Verwendung eines Programms zur Verwaltung von Sicherheitslücken
  • Implementierung strikter Maßnahmen zur Zugriffskontrolle
  • Regelmäßiges Monitoring und Testen von Netzwerken
  • Einhaltung einer Datensicherheitsrichtlinie

 

So werden die Zahlungssysteme OVH Kunden PCI DSS konform

PCI DSS Konformität betrifft die gesamte Zahlungsplattform. Die Zertifizierung der OVH Payment Infrastructure gilt dabei ausschließlich für die von OVH eingerichteten Infrastrukturen. Das bedeutet, dass jede betroffene Partei, die an der Zahlungsplattform beteiligt ist, die Anforderungen des Standards für ihren Verantwortungsbereich einhält und durch ihren Compliance-Prozess den der anderen Beteiligten ergänzt.

Im Rahmen der OVH PCI DSS Payment Infrastructure ist OVH für die Sicherheit der Infrastruktur verantwortlich, während OVH Kunden für die Sicherheit der gehosteten virtuellen Maschinen, der Nutzung der virtuellen Netzwerkfunktionen sowie der Anwendungsschichten auf ihren virtuellen Maschinen zuständig sind. PCI DSS Compliance ist daher eine gemeinsame Aufgabe, bei der die Sicherheitsmaßnahmen der Anwendungsplattform mit denen der Private Cloud Infrastruktur kombiniert werden.

Der PCI DSS Compliance-Prozess eines Zahlungssystems folgt einem strukturierten und komplexen Ablauf, dessen genaue Eigenschaften und Anforderungen von mehreren Faktoren abhängen (Anzahl der jährlich durchgeführten Transaktionen, Typen der akzeptierten Bankkarten, Komplexität der Zahlungsinfrastruktur etc.). Es ist die Aufgabe der Acquirer-Bank, die die Kartenzahlungen für das Konto des Händlers annimmt, die jeweils zutreffenden Anforderungen für den Händler festzulegen und ihm diese mitzuteilen.

Damit OVH Kunden jederzeit ihre Zahlungsinfrastruktur  unabhängig von deren Größe und Komplexität einrichten können, haben wir bei OVH uns dazu entschieden, den höchsten PCI DSS Compliance-Level für Zahlungsdienstleister (PSP Level 1) zu gewährleisten. Die Infrastruktur wird außerdem bei jedem Audit nach dem aktuellsten Sicherheitsstandard zertifiziert.

Verträge und Compliance-Bestätigungen

Jeder Fall ist von Kunde zu Kunde verschieden. Trotzdem gleichen die meisten Situationen in der Regel einem der folgenden Modelle. Die Pflichten im Compliance-Prozess werden durch die Verträge zwischen den einzelnen Parteien bestimmt, die Konformitätsnachweise erfolgen in Form von Compliance-Bestätigungen.

Für einen Händler, der seine Plattform auf einer OVH Infrastruktur hostet, gilt Folgendes:

Für einen Zahlungsdienstleister (PSP), der seine Systeme auf einer OVH Infrastruktur hostet und dessen Kunden Händler sind, gilt:

Aufteilung der Zuständigkeiten

Die genauen Pflichten unserer Kunden zu bestimmen ist ein komplexer Vorgang. Um die zutreffenden PCI DSS Anforderungen für einen bestimmten Fall zu ermitteln, ist die genaue Kenntnis des Standards notwendig. Daher empfehlen wir unseren Kunden, ein QSA-Unternehmen zu kontaktieren, damit dieses sie beim Compliance-Vorgang unterstützt.

Dank der Standardisierung unseres Angebots und der eindeutigen Trennung der verschiedenen Zuständigkeitsbereiche ist die Aufteilung der Pflichten zwischen OVH und seinen Kunden hingegen so klar wie möglich strukturiert. Mit Bezug zur Aufteilung der Sicherheitsmerkmale im PCI DSS Standard ergeben sich so folgende Zuständigkeitsbereiche:

Erstellung und Verwaltung eines gesicherten Netzwerks und Systems

PCI DSS – Anforderung 1

Installation und Instandhaltung einer Firewallkonfiguration zum Schutz der Karteninhaberdaten

Verantwortlichkeiten OVH / Kunde

OVH ist für die Konfiguration der physischen Maschinen zuständig und stellt seinen Kunden Netzwerkverwaltungsfunktionen zur Verfügung.

Der Kunde ist für die Konfiguration des virtuellen Netzwerks innerhalb des virtuellen Datacenters verantwortlich.

PCI DSS – Anforderung 2

Keine Verwendung von Systempasswörtern und anderen Sicherheitseinstellungen, die standardmäßig vom Herausgeber vordefiniert sind

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für das Infrastruktur-Equipment (Netzwerkkomponenten, Hypervisoren, Server und Datenbanken der Virtualisierungsinfrastruktur und der Dienstleistungsverwaltung).

Der Kunde ist verantwortlich für die virtuellen Maschinen und Anwendungen.

 

Schutz der Karteninhaberdaten

PCI DSS – Anforderung 3

Schutz der gespeicherten Karteninhaberdaten

Verantwortlichkeiten OVH / Kunde

Der Kunde ist allein verantwortlich für die Umsetzung auf seiner Anwendungsarchitektur.

PCI DSS – Anforderung 4

Verschlüsselte Übertragung der Karteninhaberdaten über offene öffentliche Netzwerke

Verantwortlichkeiten OVH / Kunde

Der Kunde ist allein verantwortlich für die Umsetzung auf seiner Anwendungsarchitektur.

 

Verwendung eines Programms zur Verwaltung von Sicherheitslücken

PCI DSS – Anforderung 5

Schutz aller Systeme vor Schadsoftware sowie regelmäßige Aktualisierung der Antivirensoftware und -programme

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für die Hypervisoren, Server und Datenbanken der Virtualisierungsinfrastruktur und der Dienstleistungsverwaltung.

Der Kunde ist verantwortlich für die in der Private Cloud gehosteten virtuellen Maschinen.

PCI DSS – Anforderung 6

Entwicklung und Instandhaltung gesicherter Systeme und Anwendungen

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für die den Kunden zur Verfügung gestellten Verwaltungsinterfaces, Roboter sowie die Verwaltungssysteme der Dienstleistung.

Der Kunde ist verantwortlich für die Anwendungen und Skripte, die auf den in der Private Cloud gehosteten virtuellen Maschinen ausgeführt werden.

 

Implementierung strikter Maßnahmen zur Zugriffskontrolle

PCI DSS – Anforderung 7

Beschränkung des Zugriffs auf Karteninhaberdaten auf die zwingend erforderlichen Personen

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für die Hypervisoren, Server und Datenbanken der Virtualisierungsinfrastruktur und der Dienstleistungsverwaltung.

Der Kunde ist verantwortlich für die in der Private Cloud gehosteten virtuellen Maschinen und Anwendungen.

PCI DSS – Anforderung 8

Identifizierung und Authentifizierung des Zugriffs auf die Systemkomponenten

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für die Hypervisoren, Server und Datenbanken der Virtualisierungsinfrastruktur und der Dienstleistungsverwaltung.

Der Kunde ist verantwortlich für die in der Private Cloud gehosteten virtuellen Maschinen und Anwendungen.

PCI DSS – Anforderung 9

Beschränkung des physischen Zugriffs auf Karteninhaberdaten

Verantwortlichkeiten OVH / Kunde

OVH ist allein verantwortlich für das physische Hosting der Plattform.

 

Regelmäßiges Monitoring und Testen von Netzwerken

PCI DSS – Anforderung 10

Nachverfolgung und Überwachung aller Zugriffe auf Netzwerkressourcen und Karteninhaberdaten

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für die Hypervisoren, Server und Datenbanken der Virtualisierungsinfrastruktur und der Dienstleistungsverwaltung.

Der Kunde ist verantwortlich für die in der Private Cloud gehosteten virtuellen Maschinen und Anwendungen.

PCI DSS – Anforderung 11

Regelmäßge Tests der Sicherheitssysteme und -prozesse

Verantwortlichkeiten OVH / Kunde

OVH ist zuständig für die Hypervisoren, Server und Datenbanken der Virtualisierungsinfrastruktur und der Dienstleistungsverwaltung.

Der Kunde ist verantwortlich für die in der Private Cloud gehosteten virtuellen Maschinen und Anwendungen.

 

Einhaltung einer Datensicherheitsrichtlinie

PCI DSS – Anforderung 12

Umsetzung einer Richtlinie zur Informationssicherheit für alle Mitarbeiter

Verantwortlichkeiten OVH / Kunde

OVH ist verantwortlich für alle Teams, die für Entwicklung, Automatisierung, Betrieb und Support des Private Cloud Angebots zuständig sind. Die Richtlinie umfasst sämtliche die Dienstleistung betreffenden Prozesse.

Der Kunde ist verantwortlich für den Umgang mit der Anwendung, die die Kartendaten verarbeitet.