Obtenir la certification PCI peut être un processus long, exigeant des mois de travail manuel pour se préparer à une évaluation.
Les logiciels d'automatisation de la conformité peuvent réduire considérablement ce calendrier. En collectant automatiquement des preuves et en surveillant votre pile technologique, ils réduisent le temps de préparation pour une évaluation de centaines d'heures.
Dans cet article, nous décrirons les différentes étapes de la conformité PCI et le temps nécessaire pour obtenir la certification, avec et sans automatisation.
Calendrier de conformité PCI DSS
Préparation à l'évaluation : Mois 1 - 4
- Étape 1 : Déterminer le niveau PCI
- Étape 2 : Définir la portée PCI
- Étape 3 : Réaliser une évaluation des risques et une analyse des écarts
- Étape 4 : Concevoir et mettre en œuvre des politiques et des contrôles
- Étape 5 : Documenter et collecter des preuves
RoC ou SAQ : Mois 5 - 8
- Étape 6 : Les contrôles de sécurité et les processus métier sont évalués lors d'un audit externe ou d'un SAQ examiné par un QSA ou une partie interne
- Étape 7 : Des mesures correctives sont prises pour les contrôles non en place
- Étape 8 : Recevoir ou compléter votre attestation de conformité, valable un an
Surveillance et amélioration continue : Mois 8 - 12
- Étape 9 : Surveiller continuellement votre environnement de conformité
- Étape 10 : Effectuer des tâches récurrentes régulières tout au long de l'année
Recertification : Mois 12
- Étape 11 : Compléter un RoC ou un SAQ annuellement
Combien de temps faut-il pour se conformer à la PCI DSS ?
Le temps nécessaire pour obtenir la conformité PCI dépend de la taille de votre entreprise, de la complexité de la gestion de vos données de titulaires de carte et de la disponibilité de vos ressources pour mettre en œuvre les contrôles PCI DSS.
Une petite ou moyenne entreprise peut s'attendre à être prête pour un audit en moyenne en quatre mois, puis à traverser le processus d'évaluation en six mois. Les grandes organisations peuvent nécessiter de huit mois à un an, voire plus.
Ces quatre mois de préparation à l'audit impliquent généralement de définir la portée de votre CDE, de réaliser une évaluation des risques et des analyses des écarts, de concevoir et de mettre en œuvre des contrôles, de former le personnel et de préparer la documentation et les preuves.
Le processus d'évaluation peut prendre 2 à 3 mois, selon que vous complétez un rapport complet d'audit de conformité ou un questionnaire d'auto-évaluation. Si vous êtes un commerçant ou un prestataire de services de niveau 1, vous serez audité par une entreprise QSA tierce et recevrez un RoC détaillant l'environnement des données de titulaires de carte de votre organisation, les contrôles PCI DSS et la description détaillée de la mise en œuvre de ces contrôles.
Si vous ne rentrez pas dans ces catégories, vous compléterez un SAQ. Vous pouvez faire examiner le SAQ par un QSA pour déterminer le statut de conformité de votre organisation au PCI ou vous auto-attester.
Phase pré-audit : Mois 1-4
Pendant cette période, vous déterminerez à quel niveau de conformité vous appartenez et si vous avez besoin d'un RoC ou d'un SAQ. Vous définirez également la portée de votre CDE pour déterminer tous les composants qui doivent être inclus dans la portée selon la norme PCI DSS.
Ensuite, vous devrez réaliser une évaluation des risques afin d'identifier et de réduire les risques potentiels qui pourraient affecter votre environnement de données de titulaires de carte. Vous pouvez également choisir d'engager un consultant externe ou d'examiner l'outil d'approche priorisée pour effectuer une analyse des écarts et fournir des conseils sur la façon dont vous pouvez satisfaire aux exigences du PCI.
La phase de préparation de l'évaluation est également l'endroit où vous devrez préparer la documentation, y compris la rédaction des politiques de sécurité, la mise en œuvre des contrôles techniques et opérationnels, et la formation de votre personnel à la sensibilisation à la sécurité PCI.
Phase d'évaluation : 1-2 mois
Il existe deux évaluations possibles qu'une organisation devra subir pour se conformer à PCI : un audit externe ou une auto-évaluation.
Si votre organisation effectue un audit externe pour une évaluation de niveau 1, le QSA créera un résumé des résultats détaillant les contrôles en place et la documentation fournie au cours de la phase d'audit dans un rapport de conformité.
Si votre organisation complète un questionnaire d'auto-évaluation (SAQ), alors vous attesterez de votre propre conformité en tant qu'organisation. Un auditeur externe peut attester de votre SAQ si un audit par un tiers est requis.
Comment l'automatisation de la conformité simplifie la certification PCI DSS
Le processus traditionnel pour obtenir la conformité PCI nécessite une tonne de travail manuel. Vous devez collecter et organiser des centaines de pièces justificatives, rédiger plus d'une douzaine de politiques, retrouver ceux qui n'ont pas terminé la formation PCI et les examens des politiques, et accomplir une série d'autres tâches fastidieuses et chronophages.
Secureframe rend l'ensemble du processus beaucoup plus efficace. Nous aidons les entreprises à obtenir leur certification PCI DSS en une fraction du temps.
Voici comment :
Collecte automatique des preuves
Notre plateforme collecte automatiquement des preuves pour de nombreuses exigences techniques de PCI. Secureframe vous assure également de rester sécurisé en vous alertant lorsque les contrôles ne sont plus conformes et en vous fournissant des détails sur la manière de les corriger.
Modèles de politiques
Au lieu d'essayer d'écrire des politiques complexes et spécifiques à partir de zéro, vous pouvez choisir parmi notre bibliothèque de modèles de politiques de sécurité PCI DSS, les personnaliser et les publier à vos employés pour révision. Les politiques sont toutes créées, révisées et approuvées par d'anciens auditeurs et experts en conformité.
Tableaux de bord de préparation à l'audit
Attribuez à votre équipe des formations de sensibilisation à la sécurité PCI et des examens de politiques et suivez qu'ils ont complété ces tâches via un tableau de bord unique. Vous aurez une vue en temps réel des contrôles qui réussissent et des étapes à suivre pour devenir conforme à la PCI DSS.
Surveillance continue
Surveillez en continu vos contrôles PCI pour vous assurer que vous protégez les données des titulaires de carte tout au long de l'année en utilisant nos 125+ intégrations.