En ce qui concerne la protection des données des titulaires de carte contre les violations de données, PCI DSS est la norme de sécurité la plus importante.
Mais avec des exigences aussi rigoureuses, le processus de certification peut être stressant et intimidant, surtout si vous vous certifiez pour la première fois.
Par où commencer ? Quelles politiques et contrôles devrez-vous mettre en place ? Si vous avez besoin d'un audit, comment savoir si vous êtes prêt ?
Comprendre le processus d'obtention de la certification PCI peut vous aider à mieux vous préparer pour un audit ou une auto-évaluation réussis. C'est pourquoi nous vous guiderons pas à pas dans le processus ci-dessous.
Processus de conformité PCI DSS
Étape 1 : Identifiez le niveau de conformité dont vous avez besoin
PCI DSS a différents niveaux de conformité en fonction de plusieurs facteurs :
- Taille de votre organisation
- Nombre de transactions par carte bancaire annuelles
- Exigences de vos clients ou de votre banque acquéreuse
La première étape vers la certification est de déterminer quel niveau de conformité vous avez besoin.
L'entité qui nécessite votre conformité PCI (clients, banque acquéreuse, sociétés de cartes de crédit) spécifiera généralement dans leur demande que vous effectuiez soit un Rapport de Conformité (RoC) soit un Questionnaire d'Auto-Évaluation (SAQ).
Si vous ne recevez pas de demande spécifique, vous pouvez utiliser ces questions pour déterminer votre niveau de conformité.
D'abord : êtes-vous un commerçant ou un prestataire de services ?
- Les commerçants sont des organisations qui acceptent les paiements par carte en échange de biens et services. Par exemple, les entreprises de commerce électronique.
- Les prestataires de services sont des organisations qui gèrent le traitement des paiements pour le compte d'une autre entreprise.
Ensuite, combien de transactions traitez-vous annuellement ?
- Niveau 1 Commerçant : Plus de 6 millions de transactions
- Niveau 2 Commerçant : 1 à 6 millions de transactions
- Niveau 3 Commerçant : 20k à 1 million de transactions
- Niveau 4 Commerçant : Moins de 20k transactions
- Niveau 1 Prestataire de Services : Plus de 300k transactions
- Niveau 2 Prestataire de Services : Moins de 300k transactions
Les organisations de Niveau 1 Commerçant et de Niveau 1 Prestataire de Services doivent compléter un PCI-RoC.
Si vous ne correspondez pas à ces catégories, vous devrez compléter un SAQ. Le SAQ comporte deux parties :
- Un ensemble de questions auto-guidées conçues pour évaluer votre niveau de conformité
- Une Attestation de Conformité (AoC). Ce document nécessite que vous attestiez que vous êtes qualifié pour réaliser le SAQ et que vous l'avez fait.
- Il est possible qu'on vous demande de faire appel à une société d’audit qualifiée (QSA) pour attester de votre SAQ, selon votre niveau PCI DSS.
Étape 2 : Complétez une évaluation de préparation
Pour vous préparer à une évaluation, vous devrez vous assurer que les politiques, procédures et contrôles sont en place et seront suivis pendant la période d'audit. Vous devrez également compléter une analyse ASV et un test de pénétration.
À ce stade, la plupart des organisations choisissent de compléter une évaluation de préparation avec un évaluateur de sécurité qualifié (QSA) ou avec Secureframe. Cet expert PCI DSS déterminera si votre périmètre, vos contrôles et vos processus sont prêts pour l'audit.
Étape 3 : Compléter un RoC ou un SAQ
Si vous êtes un commerçant de niveau 1 ou un fournisseur de services, vous devez remplir un rapport annuel de conformité (RoC). Il s'agit d'un audit externe effectué par un QSA. Le QSA examinera vos politiques, processus, contrôles et preuves pour décider si vous répondez aux exigences PCI DSS.
Si vous n'avez pas besoin d'un rapport de conformité (RoC), vous devez remplir un SAQ. Ce questionnaire couvre chaque exigence, les tests attendus et demande si le contrôle est :
- En place
- En place avec un contrôle compensatoire (Les contrôles compensatoires peuvent être envisagés lorsqu'une entité ne peut pas satisfaire explicitement à une exigence en raison de contraintes techniques légitimes ou de contraintes commerciales documentées, mais a suffisamment atténué le risque associé à l'exigence par la mise en œuvre d'autres contrôles.)
- Pas en place
- N/A
- Non testé
Étape 4 : Maintenir la certification
Les RoC et AoC sont tous les deux valables un an. Pour maintenir la certification, vous devez compléter un RoC ou un SAQ et un AoC chaque année.
Voici quelques autres tâches périodiques que vous devrez planifier tout au long de l'année pour maintenir votre certification PCI :
- Tâches quotidiennes : Examiner les journaux et toutes les alertes pour identifier les anomalies ou les activités suspectes.
- Tâches hebdomadaires : Les analyses de surveillance de l'intégrité des fichiers (avec comparaisons de fichiers critiques) doivent être effectuées au moins une fois par semaine.
- Tâches mensuelles : Installer tous les correctifs de sécurité fournis par les fournisseurs pour protéger les composants du système et les logiciels des vulnérabilités connues.
- Tâches trimestrielles : Examiner les accès des utilisateurs, rechercher des réseaux sans fil non autorisés et vérifier que les données en dehors de la période de rétention ont été supprimées. Vous devrez également effectuer des analyses de vulnérabilité avec un fournisseur d'analyses approuvé (ASV).
- Tâches semestrielles : Examiner les configurations des pare-feu et des routeurs.
- Tâches annuelles : Examiner et réapprouver les politiques, exiger que les employés reconnaissent la politique de sécurité de l'information et réaliser une évaluation des risques et un test de pénétration. La formation au code sécurisé pour les développeurs et la formation à la sensibilisation à la sécurité pour les employés doivent également être effectuées.
