Si votre organisation accepte, traite, stocke, transmet ou impacte la sécurité des données des titulaires de carte, alors vous devez être conforme au PCI. Vos banques acquéreuses, marques de cartes de paiement ou clients peuvent exiger que vous remplissiez la conformité PCI annuellement au minimum.
Selon le niveau PCI auquel appartient votre entreprise, le rapport de conformité sera soit un rapport de conformité (RoC), soit un questionnaire d'auto-évaluation (SAQ).
PCI RoC vs SAQ
Le PCI RoC est un audit externe effectué par un conseiller en sécurité qualifié (QSA) ou un évaluateur de sécurité interne (ISA) pour déterminer si les politiques et procédures de votre organisation, les configurations de réseaux et d'applications, et les contrôles de sécurité généraux répondent aux exigences PCI DSS.
Le PCI SAQ est une série de questions par oui ou par non qui incluent les 12 exigences qui vous obligent à attester que votre organisation répond aux normes PCI DSS. Cela peut être complété par votre organisation ou peut être examiné par un QSA pour déterminer le statut de conformité de l'organisation au PCI.
Il existe 8 types de questionnaires d'auto-évaluation pour les commerçants et les prestataires de services afin de prouver leur conformité PCI DSS.
Lectures recommandées
PCI SAQs : Quel questionnaire d'auto-évaluation est le mieux adapté à votre entreprise ?
Read MoreQui a besoin d'un RoC vs SAQ ?
Le RoC s'applique aux organisations de niveau 1 pour les commerçants et de niveau 1 pour les prestataires de services. Donc, vous êtes éligible pour un RoC si votre organisation :
- Accepte les paiements par carte en échange de biens et de services ET traite plus de 6 millions de transactions par an ; ou
- Traite les données des titulaires de carte pour le compte d'une autre société ET traite plus de 300 000 transactions par an
Les RoC peuvent également être requis pour les commerçants et les prestataires de services qui traitent moins de transactions que le seuil ci-dessus, en fonction des exigences de risque des clients et des banques avec lesquels ils travaillent.
Si vous ne tombez pas dans ces catégories, vous devrez remplir un SAQ.
Qui peut réaliser un RoC vs SAQ ?
Un RoC doit être complété soit par un QSA certifié, soit par un ISA. Le Conseil des normes de sécurité PCI fournit une liste de QSAs pour vous aider à en trouver un près de chez vous.
Les SAQ sont réalisés en interne par l'organisation, mais peuvent être examinés par un QSA pour déterminer le statut de conformité de l'organisation au PCI.
À quelle fréquence une organisation doit-elle compléter un RoC vs SAQ ?
Les marques de paiement fixent la fréquence des audits, mais en général, un commerçant ou un prestataire de services de niveau 1 devra subir un audit complet et compléter un RoC annuellement.
Les marques de paiement fixent également la fréquence des SAQ, mais en général, les organisations de niveau 2-4 doivent en remplir un chaque année. La plupart des marques exigent également que ces organisations complètent et soumettent un AoC annuellement.
RoC vs SAQ Parts
Un RoC est divisé en trois parties : un résumé exécutif, un résumé des conclusions et l'attestation de conformité.
- Le résumé exécutif décrit comment l'audit a été réalisé et ce qui a été testé, incluant de nombreux détails spécifiques de l'organisation tels que des schémas, des détails de l'environnement des données des titulaires de cartes et des informations sur l'auditeur.
- Le résumé des conclusions est l'endroit où le QSA documentera comment il a observé ou inspecté les contrôles en place et notera ses conclusions pour chaque exigence.
- L'attestation de conformité est un résumé montrant quelles exigences ont été marquées en place, non en place ou non applicables, et c'est là que le QSA signe le statut de conformité des organisations.
Le SAQ a également trois parties :
- Un aperçu commercial où vous documentez les détails de votre service et de l'environnement des données des titulaires de cartes
- Un ensemble de questions auto-guidées conçu pour évaluer votre niveau de conformité
- Une attestation de conformité, qui vous oblige à attester que vous êtes qualifié pour réaliser le SAQ et que vous l'avez fait.
RoC vs résultats SAQ
Dans PCI DSS 4.0, il existe différents types de résultats pour le RoC et le SAQ respectivement. Ils sont listés ci-dessous.
- En place : Les tests ont été effectués et tous les éléments de l'exigence sont remplis.
- En place avec remédiation (SAQ seulement) : L'exigence n'a pas été remplie à un moment donné au cours de l'évaluation, mais a été corrigée avant la fin de l'évaluation.
- En place avec CCW (SAQ seulement) : Les tests attendus ont été effectués et l'exigence a été remplie avec l'aide d'un contrôle compensatoire.
- Non applicable : L'exigence ne s'applique pas à l'organisation.
- Non testé : L'exigence n'a pas été incluse dans l'évaluation et n'a pas été testée de quelque manière que ce soit.
- Non en place : Certains ou tous les éléments de l'exigence n'ont pas été remplis, sont en cours de mise en œuvre ou nécessitent des tests supplémentaires.
Une organisation n'est pas considérée comme conforme si elle ne respecte pas une exigence de la PCI DSS. La validation est tout ou rien, donc toutes les exigences doivent être respectées pour être considérées comme conformes PCI.
RoC vs processus SAQ
Il y a six étapes majeures pour compléter un RoC :
- Étape 1 : Déterminer le QSA que vous allez utiliser ou l'ISA qui effectuera l'évaluation.
- Étape 2 : Préparez l'évaluation en passant en revue les exigences, la portée et les contrôles.
- Étape 3 : Conduire l'évaluation.
- Étape 4 : Corriger les constatations.
- Étape 5 : Soumettre l'attestation aux parties intéressées.
- Étape 6 : Maintenir la conformité tout au long de l'année.
Le processus SAQ peut également être décomposé en six étapes.
- Étape 1 : Déterminer qui, en interne, va réaliser l'évaluation, ou contacter une société de QSA.
- Étape 2 : Préparez l'évaluation en passant en revue les exigences, la portée et les contrôles.
- Étape 3 : Conduire l'évaluation.
- Étape 4 : Corriger les constatations.
- Étape 5 : Soumettre l'attestation aux parties intéressées.
- Étape 6 : Maintenir la conformité tout au long de l'année.
Vous trouverez ci-dessous un résumé des principales différences entre le RoC et le SAQ.
RoC | SAQ | |
What is it? | An external audit performed by a QSA or ISA | A self-assessment questionnaire designed to assess an organization’s level of compliance |
Who needs one? | Level 1 merchants and service providers | Merchants and service providers that do not need a full Level 1 RoC for PCI compliance |
Who can conduct one? | QSA or ISA | An internal party can conduct the assessment and the SAQ can also be reviewed by a QSA |
How often should one be completed? | Annually (unless a significant change of service occurs) | Annually (unless a significant change of service occurs) |
What are the major components? | -Executive Summary -Scope of Assessment -Description of Environment -Assessment Methodology -Findings and recommendations -Attestation of Compliance -Supporting Documentation |
-Business Information -Assessment Information -Self Assessment -Attestation of Compliance |
What are the possible findings? | -In place -Not applicable -Not tested -Not in place |
-In place -In place with a Compensating Control Worksheet -Not applicable -Not tested -Not in place |
What is the process for completing one? | 1. Determine the QSA you will use or ISA that will perform the assessment. 2. Prepare for the assessment by reviewing requirements, scope and controls. 3. Conduct the assessment. 4. Remediate findings. 5. Submit the attestation to inquiring parties. 6. Maintain compliance throughout the year. |
1. Determine who internally is going to perform the assessment, or reach out to a QSA firm. 2. Prepare for the assessment by reviewing requirements, scope and controls. 3. Conduct the assessment. 4. Remediate findings. 5. Submit the attestation to inquiring parties. 6. Maintain compliance throughout the year. |