Comprendre quelles exigences PCI DSS s'appliquent à votre entreprise et le niveau de conformité dont vous aurez besoin est complexe. Cette complexité rend difficile l'estimation du coût réel de la conformité PCI sans une discussion directe avec un QSA.
Une petite entreprise avec moins de 20 utilisateurs encourra beaucoup moins de coûts qu'une entreprise mondiale avec plus de 500 utilisateurs. Une entreprise qui se qualifie pour une SAQ paiera beaucoup moins qu'une autre nécessitant une attestation de niveau 1 sur site.
Ci-dessous, nous énumérons les coûts typiques associés à la conformité PCI DSS, depuis la préparation à votre certification jusqu'à la maintenance annuelle, pour vous aider à déterminer un budget réaliste.
Combien coûte la conformité PCI DSS ?
PCI DSS n'est pas un cadre universel. Le niveau de conformité dont vous avez besoin dépend de facteurs tels que :
- La taille et le type d'entreprise de votre organisation
- Le nombre de transactions que vous traitez chaque année
- Les exigences de vos clients et de votre banque acquéreuse
Il n'est donc pas surprenant d'apprendre que les coûts de conformité PCI DSS varient considérablement en fonction de ces mêmes facteurs. Une entreprise mondiale qui traite des millions de transactions par carte de crédit chaque année se retrouvera avec une facture de conformité bien plus élevée qu'une petite boutique de commerce électronique.
Votre niveau de préparation à PCI DSS est un autre facteur important influençant les coûts associés. Plus vous devez travailler pour aligner vos politiques, processus et configurations système, plus le coût total de votre certification sera élevé.
Avec ces facteurs à l’esprit, examinons une estimation des coûts de conformité PCI pour une grande entreprise et une petite entreprise.
Coût moyen de la conformité PCI
En moyenne, une grande entreprise traitant des millions de paiements chaque année peut s'attendre à payer 50 à 200K $ pour compléter un Rapport de Conformité (RoC). Une petite entreprise complétant une SAQ et une Attestation de Conformité (AoC) paiera probablement 20K $ ou moins en coûts annuels de conformité PCI.
Coûts Typiques de la Conformité PCI DSS
Tandis que la gamme des coûts est importante, chaque organisation qui poursuit la certification PCI engagera probablement certains des mêmes coûts. Ci-dessous, nous énumérons certains coûts typiques de la préparation, de l'obtention et du maintien de la conformité PCI.
Coûts de préparation
Les coûts de conformité ne se limitent pas à votre audit de certification. Vous devez prendre en compte le coût de la mise en conformité de vos systèmes aux exigences PCI DSS, ce qui peut inclure la formation des employés, les mises à jour logicielles et matérielles, et le développement des politiques.
Sécurité réseau telle que Cloudflare (200 $ par mois et plus) ou un IDS/IPS (500 $ et plus)
PCI DSS exige que vous disposiez d'un réseau sécurisé, ce qui peut inclure des éléments tels que la protection par pare-feu, un système de détection ou de prévention des intrusions, et l'atténuation des attaques DDoS.
Vous devrez également consacrer des ressources internes pour vous assurer que votre réseau est continuellement surveillé et que les alertes de sécurité sont suivies 24h/24 et 7j/7.
Cryptage des données : coûts de productivité
La norme PCI DSS consiste à protéger les données des titulaires de carte, la norme de conformité exige que vous cryptiez toutes les données de paiement stockées. Vous devrez tenir compte des ressources internes ou du coût d'utilisation d'un prestataire de services pour stocker les données de paiement cryptées.
Logiciel antivirus : 30 $ par an et par appareil
Le logiciel antivirus est conçu pour détecter et supprimer les virus et autres malwares de vos ordinateurs portables et serveurs. La plupart des antivirus commerciaux comme Norton ou Kaspersky sont facturés sous forme d'abonnement annuel ou mensuel et constitueront un coût récurrent. Il est également généralement tarifé par appareil, donc les coûts totaux peuvent varier considérablement pour les entreprises de différentes tailles.
Formation des employés : 20-30 $ par employé et par an
Votre atout de sécurité le plus important n'est pas votre pile technologique — c'est votre personnel. Toute personne ayant accès à votre environnement de données de titulaire de carte ou pouvant impacter la sécurité des données de titulaire de carte doit recevoir une formation de sensibilisation à la sécurité afin de comprendre son rôle et ses responsabilités dans la protection des données de titulaire de carte.
Les développeurs doivent également suivre une formation de codage sécurisé chaque année pour vérifier qu'ils sont conscients des vulnérabilités de codage courantes et construisent du code de manière sécurisée. Les personnes impliquées dans la réponse aux incidents ou faisant partie de l'équipe de réponse à la sécurité doivent également être formées à leur capacité à découvrir, atténuer et résoudre un incident de sécurité.
Parce que le paysage des menaces évolue constamment, une formation en sécurité est requise chaque année pour sensibiliser les employés aux derniers risques et aux meilleures pratiques de sécurité.
Développement de politiques de sécurité : 1 000 $ et coûts de productivité
PCI exige que votre équipe crée et maintienne un ensemble de politiques de sécurité. Si vous décidez d'utiliser des modèles de politiques pour éviter de partir de zéro, leur achat pourrait constituer un coût supplémentaire. Le coût moyen d'un package de politiques est de 1 000 $.
Une partie du processus de développement des politiques consiste également à mettre ces politiques en pratique, ce qui signifie réserver du temps pour que votre équipe examine officiellement et accepte toutes nouvelles politiques et/ou forme les employés aux nouveaux processus.
En fonction de l'état actuel de vos politiques de sécurité, leur mise à jour ou le développement de nouvelles peuvent entraîner une perte de productivité importante pour votre équipe et nécessiter une expertise dans les exigences spécifiques de la politique et des processus propres à la PCI DSS.
Analyses de vulnérabilité : 150-200 $ par adresse IP annuellement pour une analyse ASV ; 3 000-5 000 $ par an pour une analyse de vulnérabilité interne
Un fournisseur de scans approuvé (ASV) doit effectuer des analyses trimestrielles de vos systèmes externes pour vérifier toute vulnérabilité de sécurité. Les ASV sont des fournisseurs que le PCI SSC a évalués et approuvés pour effectuer des analyses. Vous pouvez trouver une liste de fournisseurs approuvés compilée par le PCI Security Standards Council (PCI SSC) ici. Des analyses de vulnérabilité internes doivent également être effectuées trimestriellement par une personne expérimentée dans l'analyse de vulnérabilité.
Pour maintenir la conformité, vous devrez subir des analyses de vulnérabilité trimestrielles par un fournisseur de scans approuvé (ASV).
Test d'intrusion : 3-30 000 $, selon la taille et la complexité de l'entreprise
Comme les analyses de vulnérabilités, les tests d'intrusion vous aident à trouver des vulnérabilités dans votre environnement de données de titulaire de carte avant qu'elles ne puissent être exploitées par un attaquant réel. Les tests d'intrusion doivent être réalisés manuellement et les tests de segmentation doivent être effectués tous les 6 mois pour les prestataires de services.
Les testeurs d'intrusion (aussi appelés hackers éthiques) recherchent spécifiquement des problèmes de sécurité que les systèmes de scan automatisés peuvent ne pas identifier et exploiteront les vulnérabilités trouvées pour vérifier l'ampleur des problèmes de sécurité dans votre environnement.
Les tests d'intrusion sont requis annuellement pour PCI RoC, SAQ D, SAQ C, SAQ C-VT, SAQ B-IP et SAQ A-EP.
Coûts de certification PCI DSS
Une fois que vous êtes entièrement préparé pour la certification PCI DSS, vous êtes prêt pour un Questionnaire d'Auto-évaluation ou un Rapport de Conformité. Comme la certification dure un an, prévoyez que ces coûts de certification soient un investissement récurrent annuel.
Questionnaire d'Auto-évaluation (SAQ) : 15-50 000 $
Un questionnaire d'auto-évaluation (SAQ) est un document qui pose des questions étape par étape sur chaque exigence PCI et vous permet de déterminer votre niveau de conformité en fonction de votre mise en œuvre et si la mise en œuvre répond aux exigences. À moins d'être un commerçant ou un fournisseur de services de niveau 1, votre organisation est éligible pour un SAQ. Nous recommandons d'utiliser le support de Secureframe ou un auditeur pour aider à qualifier votre SAQ et réaliser l'évaluation en votre nom afin de garantir que le SAQ répondra à toutes les exigences de vos clients ou des banques acquéreuses.
Audit de conformité (Report on Compliance) par un évaluateur qualifié en sécurité (QSA) : 30 000 $ - 200 000 $
Les commerçants et fournisseurs de services de niveau 1 sont tenus de subir un audit complet de conformité. À la fin de votre audit, le QSA délivrera un Rapport de conformité (RoC) qui détaille l'environnement de données des titulaires de carte de votre organisation, sa posture de sécurité et son niveau de conformité PCI DSS. Certains commerçants et fournisseurs de services de niveau 2 doivent également subir un audit tiers.
Votre RoC ou SAQ est valable un an, vous devrez donc compléter le processus chaque année pour maintenir la certification. Le coût de la documentation SAQ et / ou de l'audit de sécurité est une dépense que vous devrez engager chaque année.
Économisez de l'argent sur la conformité PCI
Le logiciel d'automatisation de la conformité peut réduire ces coûts de manière significative en fournissant une bibliothèque de modèles de politiques de sécurité conformes PCI, une formation de sécurité des employés à la demande, une collecte automatisée des preuves et un support d'un expert en PCI DSS. En savoir plus sur la manière dont la conformité PCI peut être rentable avec une solution complète de bout en bout comme Secureframe.
