La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble largement accepté de politiques et de procédures destinées aux organisations qui traitent des transactions par carte de crédit, de débit et d'argent liquide afin de garantir la protection des informations personnelles des titulaires de cartes.
L'obtention d'un rapport de conformité (ROC) et d'une attestation de conformité (AOC) à la norme PCI DSS démontre l'engagement de votre organisation envers la sécurité des données des cartes de paiement et identifie le niveau de validation que vous avez atteint.
PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité développée par le PCI SSC (PCI Security Standards Council) pour les commerçants et les processeurs de cartes de paiement. Elle est basée sur cinq marques mondiales de paiement - American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. qui ont accepté d'inclure PCI DSS comme exigence technique pour la conformité à chacun de leurs programmes de sécurité des données.
La norme PCI DSS est essentielle à la mise en œuvre de la sécurité des informations et des meilleures pratiques dans le secteur des cartes de crédit.
PCI DSS comprend 12 exigences et est applicable à toute entreprise qui stocke, traite ou transmet des données de titulaires de cartes.
La conformité à la norme PCI DSS s'applique à l'ensemble de la plate-forme de paiement électronique et est respectée par le commerçant en utilisant les modules conformes à la norme PCI DSS appartenant à son prestataire de services. Cela signifie que chaque partie impliquée dans l'utilisation de la plate-forme doit se conformer aux exigences de la norme qui sont pertinentes pour ses activités, et démontrer cette conformité à ses clients.
Dans le cadre de l'infrastructure de paiement PCI DSS d'OVHcloud, OVHcloud est responsable de la sécurité de l'infrastructure, tandis que vous restez responsable de la sécurité des machines virtuelles que nous hébergeons, de l'utilisation des fonctionnalités du réseau virtuel et des couches applicatives déployées sur vos machines virtuelles. De cette façon, la conformité PCI DSS est un effort conjoint pour combiner les mesures de sécurité de votre logiciel et de votre plateforme système avec celles de l'infrastructure de Cloud privé d'OVHcloud.
La conformité à la norme PCI DSS peut être certifiée par une attestation de conformité (AoC) établie après qu'un questionnaire d'auto-évaluation a été rempli, ou après qu'un audit a été réalisé par une ou plusieurs sociétés QSA (Qualified Security Assessor).
La conformité de votre plateforme à la norme PCI DSS est un processus structuré, dont les caractéristiques et les obligations dépendent de plusieurs facteurs :
Se mettre en conformité avec la norme PCI DSS implique de se rapprocher des parties concernées, afin de comprendre leurs attentes précises. OVH vous recommande de contacter votre banque acquéreuse et/ou de faire appel à une société QSA pour vous assister dans cette démarche.
La plateforme OVH fait l'objet d'audits annuels par une société QSA. Les documents d'audit sont disponibles et vous pouvez les consulter :