Un rapport sur la conformité PCI (RoC) est une évaluation qui teste les contrôles de sécurité d'une entreprise protégeant les données des titulaires de carte.

Le rapport détaille si votre entreprise répond à toutes les 12 exigences de la norme PCI DSS, ainsi que toutes les insuffisances découvertes lors de l'évaluation.

Cependant, un RoC n'est pas obligatoire pour chaque commerçant ou fournisseur de services. Ci-dessous, nous expliquons qui a besoin d'un RoC et comment fonctionne le processus RoC.

Qui a besoin d'un PCI DSS RoC ?

Les banques acquéreuses ou les marques de cartes de crédit exigent, au minimum, que vous remplissiez un rapport de conformité annuel et des analyses réseau trimestrielles.

Selon le niveau PCI de votre entreprise, le rapport de conformité sera soit un RoC, soit un questionnaire d'auto-évaluation (SAQ).

Les RoC sont requis pour les commerçants et fournisseurs de services de niveau 1 et potentiellement les commerçants de niveau 2, en fonction des exigences des marques de cartes de crédit.

• Commerçants de niveau 1 : 6 millions ou plus de transactions par an
• Commerçants de niveau 2 : 1 million à 6 millions de transactions par an
• Fournisseurs de services de niveau 1 : 300 000 transactions ou plus par an

Les commerçants et fournisseurs de services qui n'ont pas besoin d'un RoC pour la conformité PCI rempliront un questionnaire d'auto-évaluation (SAQ).

Si vous ne savez pas si votre entreprise a besoin d'un RoC ou d'un SAQ, vous pouvez demander l'aide de votre banque acquéreuse.

Qui peut conduire un RoC ?

Un RoC doit être complété par un conseiller en sécurité qualifié (QSA) ou un évaluateur de sécurité interne (ISA).

Un ISA est un employé interne qui a suivi une formation PCI DSS. Alors que certaines organisations utilisent un évaluateur interne de leur personnel pour compléter le RoC, beaucoup choisissent de faire appel à un tiers indépendant.

Le conseil des normes de sécurité PCI fournit une liste des QSA pour vous aider à en trouver un près de chez vous.

Quel est le processus RoC ?

Les QSAs ou ISAs utilisent le Modèle de rapport RoC pour créer un résumé des conclusions détaillant les contrôles en place et la documentation fournie pendant la phase d'audit.

Après avoir complété un RoC, l'évaluateur présentera ses conclusions à la banque acquéreuse de l'entreprise. Si l'acquéreur accepte le RoC, il sera transmis aux marques de paiement pour vérification.

Les marques de paiement définissent la fréquence des audits, mais en général, un commerçant ou fournisseur de services de niveau 1 devra subir un audit complet et compléter un RoC chaque année.

Sections RoC

Un RoC est divisé en deux parties : un aperçu de l'évaluation et un résumé des conclusions.

• Résumé exécutif : Fournit un aperçu des conclusions du rapport relatives à la sécurité des données des titulaires de carte
• Description de la portée et de l'approche adoptée : Détaille la segmentation du réseau, les applications de paiement, la version PCI DSS utilisée pour l'évaluation et la période de temps
• Détails sur l'environnement révisé : Inclut un diagramme de chaque segment de réseau, une description de l'environnement des données du titulaire de carte (CDE), les fournisseurs de services, les personnes interrogées pendant l'audit et la documentation commerciale pertinente
• Coordonnées et date du rapport : Inclut les coordonnées du commerçant et de l'évaluateur ainsi que la date du rapport
• Résultats des scans trimestriels : Un résumé des quatre derniers résultats de scans trimestriels
• Conclusions et observations : Un résumé de toutes les conclusions qui pourraient ne pas figurer dans le modèle standard de RoC, y compris les détails sur les contrôles compensatoires

Quels sont les résultats possibles du RoC ?

Il existe cinq résultats possibles pour les exigences PCI DSS :

• En place : Les tests ont été effectués et tous les éléments de l'exigence sont respectés
• En place avec remédiation : L'exigence n'a pas été respectée à un moment donné lors de l'évaluation, mais a été corrigée avant la fin de l'évaluation
• Non applicable : L'exigence ne s'applique pas à l'organisation
• Non testé : L'exigence n'a pas été incluse dans l'évaluation et n'a été testée d'aucune manière
• Non en place : Certains ou tous les éléments de l'exigence n'ont pas été respectés, sont en cours de mise en œuvre ou nécessitent des tests supplémentaires

Une organisation n'est pas considérée comme conforme si des éléments sont ouverts ou doivent être traités à une date ultérieure. La validation est tout ou rien, donc toutes les exigences doivent être respectées pour être considéré conforme PCI.

PCI RoC vs. AoC : en quoi sont-ils différents ?

Un RoC est une évaluation qui détermine la conformité PCI. Une attestation de conformité (AoC) confirme que le RoC est exact.

Un RoC doit être complété avant un AoC, qui est considéré comme la dernière étape du processus de conformité. Les deux sont nécessaires pour prouver la conformité avec la norme PCI.

Pourquoi vous devriez envisager de compléter un RoC

Même si un RoC n'est pas requis pour votre entreprise, vous pourriez envisager d'en compléter un quand même.

Un RoC complété offre à l'entreprise une variété d'avantages, notamment :

• Assurance : En faisant évaluer la sécurité de vos données de détenteurs de carte par un tiers indépendant, vous aurez l'esprit tranquille en sachant que vous respectez les normes de sécurité et protégez adéquatement les données des clients.
• Avantage concurrentiel : Les entreprises qui choisissent de compléter un RoC prouvent aux clients potentiels et actuels qu'elles prennent la sécurité des données de détenteurs de carte au sérieux.
• Crédibilité : Assurer un environnement de données de détenteurs de carte sécurisé se traduit par de meilleures pratiques de sécurité à travers l'organisation. Cela peut conduire à moins de violations de données et à une confiance accrue des clients.

Comment Secureframe peut vous aider à vous préparer à un RoC

Vous ne savez pas si vous êtes prêt à prouver la conformité avec un RoC ?

L'équipe d'experts PCI DSS de Secureframe peut aider votre équipe et votre environnement de données de détenteurs de carte à être prêts pour l'audit en identifiant rapidement les lacunes et en aidant à les combler.

Demandez une démo aujourd'hui pour voir comment Secureframe peut aider à rationaliser votre processus d'audit.