Si votre organisation accepte, traite, stocke, transmet ou impacte la sécurité des données des titulaires de carte, alors vous devez être conforme au PCI. Vos banques acquéreuses, marques de cartes de paiement ou clients peuvent exiger que vous remplissiez la conformité PCI annuellement au minimum.

Selon le niveau PCI auquel appartient votre entreprise, le rapport de conformité sera soit un rapport de conformité (RoC), soit un questionnaire d'auto-évaluation (SAQ).

PCI RoC vs SAQ

Le PCI RoC est un audit externe effectué par un conseiller en sécurité qualifié (QSA) ou un évaluateur de sécurité interne (ISA) pour déterminer si les politiques et procédures de votre organisation, les configurations de réseaux et d'applications, et les contrôles de sécurité généraux répondent aux exigences PCI DSS.

Le PCI SAQ est une série de questions par oui ou par non qui incluent les 12 exigences qui vous obligent à attester que votre organisation répond aux normes PCI DSS. Cela peut être complété par votre organisation ou peut être examiné par un QSA pour déterminer le statut de conformité de l'organisation au PCI.

Il existe 8 types de questionnaires d'auto-évaluation pour les commerçants et les prestataires de services afin de prouver leur conformité PCI DSS.

Lectures recommandées

PCI SAQs : Quel questionnaire d'auto-évaluation est le mieux adapté à votre entreprise ?

Qui a besoin d'un RoC vs SAQ ?

Le RoC s'applique aux organisations de niveau 1 pour les commerçants et de niveau 1 pour les prestataires de services. Donc, vous êtes éligible pour un RoC si votre organisation :

Accepte les paiements par carte en échange de biens et de services ET traite plus de 6 millions de transactions par an ; ou
Traite les données des titulaires de carte pour le compte d'une autre société ET traite plus de 300 000 transactions par an

Les RoC peuvent également être requis pour les commerçants et les prestataires de services qui traitent moins de transactions que le seuil ci-dessus, en fonction des exigences de risque des clients et des banques avec lesquels ils travaillent.

Si vous ne tombez pas dans ces catégories, vous devrez remplir un SAQ.

Qui peut réaliser un RoC vs SAQ ?

Un RoC doit être complété soit par un QSA certifié, soit par un ISA. Le Conseil des normes de sécurité PCI fournit une liste de QSAs pour vous aider à en trouver un près de chez vous.

Les SAQ sont réalisés en interne par l'organisation, mais peuvent être examinés par un QSA pour déterminer le statut de conformité de l'organisation au PCI.

À quelle fréquence une organisation doit-elle compléter un RoC vs SAQ ?

Les marques de paiement fixent la fréquence des audits, mais en général, un commerçant ou un prestataire de services de niveau 1 devra subir un audit complet et compléter un RoC annuellement.

Les marques de paiement fixent également la fréquence des SAQ, mais en général, les organisations de niveau 2-4 doivent en remplir un chaque année. La plupart des marques exigent également que ces organisations complètent et soumettent un AoC annuellement.

RoC vs SAQ Parts

Un RoC est divisé en trois parties : un résumé exécutif, un résumé des conclusions et l'attestation de conformité.

Le résumé exécutif décrit comment l'audit a été réalisé et ce qui a été testé, incluant de nombreux détails spécifiques de l'organisation tels que des schémas, des détails de l'environnement des données des titulaires de cartes et des informations sur l'auditeur.
Le résumé des conclusions est l'endroit où le QSA documentera comment il a observé ou inspecté les contrôles en place et notera ses conclusions pour chaque exigence.
L'attestation de conformité est un résumé montrant quelles exigences ont été marquées en place, non en place ou non applicables, et c'est là que le QSA signe le statut de conformité des organisations.

Le SAQ a également trois parties :

Un aperçu commercial où vous documentez les détails de votre service et de l'environnement des données des titulaires de cartes
Un ensemble de questions auto-guidées conçu pour évaluer votre niveau de conformité
Une attestation de conformité, qui vous oblige à attester que vous êtes qualifié pour réaliser le SAQ et que vous l'avez fait.

RoC vs résultats SAQ

Dans PCI DSS 4.0, il existe différents types de résultats pour le RoC et le SAQ respectivement. Ils sont listés ci-dessous.

En place : Les tests ont été effectués et tous les éléments de l'exigence sont remplis.
En place avec remédiation (SAQ seulement) : L'exigence n'a pas été remplie à un moment donné au cours de l'évaluation, mais a été corrigée avant la fin de l'évaluation.
En place avec CCW (SAQ seulement) : Les tests attendus ont été effectués et l'exigence a été remplie avec l'aide d'un contrôle compensatoire.
Non applicable : L'exigence ne s'applique pas à l'organisation.
Non testé : L'exigence n'a pas été incluse dans l'évaluation et n'a pas été testée de quelque manière que ce soit.
Non en place : Certains ou tous les éléments de l'exigence n'ont pas été remplis, sont en cours de mise en œuvre ou nécessitent des tests supplémentaires.

Une organisation n'est pas considérée comme conforme si elle ne respecte pas une exigence de la PCI DSS. La validation est tout ou rien, donc toutes les exigences doivent être respectées pour être considérées comme conformes PCI.

RoC vs processus SAQ

Il y a six étapes majeures pour compléter un RoC :

Étape 1 : Déterminer le QSA que vous allez utiliser ou l'ISA qui effectuera l'évaluation.
Étape 2 : Préparez l'évaluation en passant en revue les exigences, la portée et les contrôles.
Étape 3 : Conduire l'évaluation.
Étape 4 : Corriger les constatations.
Étape 5 : Soumettre l'attestation aux parties intéressées.
Étape 6 : Maintenir la conformité tout au long de l'année.

Le processus SAQ peut également être décomposé en six étapes.

Étape 1 : Déterminer qui, en interne, va réaliser l'évaluation, ou contacter une société de QSA.
Étape 2 : Préparez l'évaluation en passant en revue les exigences, la portée et les contrôles.
Étape 3 : Conduire l'évaluation.
Étape 4 : Corriger les constatations.
Étape 5 : Soumettre l'attestation aux parties intéressées.
Étape 6 : Maintenir la conformité tout au long de l'année.

Vous trouverez ci-dessous un résumé des principales différences entre le RoC et le SAQ.

	RoC	SAQ
What is it?	An external audit performed by a QSA or ISA	A self-assessment questionnaire designed to assess an organization’s level of compliance
Who needs one?	Level 1 merchants and service providers	Merchants and service providers that do not need a full Level 1 RoC for PCI compliance
Who can conduct one?	QSA or ISA	An internal party can conduct the assessment and the SAQ can also be reviewed by a QSA
How often should one be completed?	Annually (unless a significant change of service occurs)	Annually (unless a significant change of service occurs)
What are the major components?	-Executive Summary -Scope of Assessment -Description of Environment -Assessment Methodology -Findings and recommendations -Attestation of Compliance -Supporting Documentation	-Business Information -Assessment Information -Self Assessment -Attestation of Compliance
What are the possible findings?	-In place -Not applicable -Not tested -Not in place	-In place -In place with a Compensating Control Worksheet -Not applicable -Not tested -Not in place
What is the process for completing one?	1. Determine the QSA you will use or ISA that will perform the assessment. 2. Prepare for the assessment by reviewing requirements, scope and controls. 3. Conduct the assessment. 4. Remediate findings. 5. Submit the attestation to inquiring parties. 6. Maintain compliance throughout the year.	1. Determine who internally is going to perform the assessment, or reach out to a QSA firm. 2. Prepare for the assessment by reviewing requirements, scope and controls. 3. Conduct the assessment. 4. Remediate findings. 5. Submit the attestation to inquiring parties. 6. Maintain compliance throughout the year.

ROC vs SAQ

PCI RoC vs SAQ

Lectures recommandées

Qui a besoin d'un RoC vs SAQ ?

Qui peut réaliser un RoC vs SAQ ?

À quelle fréquence une organisation doit-elle compléter un RoC vs SAQ ?

RoC vs SAQ Parts

RoC vs résultats SAQ

RoC vs processus SAQ

Présentation PCI DSS

Qu'est-ce que la conformité PCI DSS ?

À Qui S'Applique le PCI DSS?

Quels sont les avantages de la conformité PCI DSS ?

Quelles sont les amendes et pénalités potentielles de la PCI DSS?

ROC vs SAQ

Exigences PCI DSS

Les 12 Exigences de Conformité PCI DSS

Comment Déterminer Votre Niveau de Conformité PCI

Qu'est-ce que les données de titulaire de carte selon la norme PCI DSS ?

Processus de Conformité PCI DSS, Délais et Coûts

Comment se conformer à la norme PCI DSS

Qu'est-ce qu'un audit PCI ?

Les Coûts de Conformité PCI

Combien de temps faut-il pour devenir conforme au PCI DSS ?

Automatiser la Conformité PCI DSS

Manuel vs Automatisé : Rationalisez la conformité PCI DSS

Les avantages économiques de l'automatisation de la conformité PCI DSS

Pourquoi l'automatisation de la conformité PCI DSS dévoile de meilleures perspectives de sécurité

Maintaining PCI DSS Compliance

Outils et ressources PCI DSS

Listes de contrôle et modèles PCI DSS

Ressources de formation PCI DSS

Évaluateurs de sécurité qualifiés PCI DSS de confiance

Entreprises de tests de pénétration PCI DSS

Fournisseurs de Scans Approuvés PCI DSS

Pourquoi Secureframe

Produits

Fonctionnalités

Solutions

Principaux Cadres

Types de partenaires

Programme de partenariat

Ressources

En Vedette

Entreprise

ROC vs SAQ

PCI RoC vs SAQ

Lectures recommandées

Qui a besoin d'un RoC vs SAQ ?

Qui peut réaliser un RoC vs SAQ ?

À quelle fréquence une organisation doit-elle compléter un RoC vs SAQ ?

RoC vs SAQ Parts

RoC vs résultats SAQ

RoC vs processus SAQ

Présentation PCI DSS

Qu'est-ce que la conformité PCI DSS ?

À Qui S'Applique le PCI DSS?

Quels sont les avantages de la conformité PCI DSS ?

Quelles sont les amendes et pénalités potentielles de la PCI DSS?

ROC vs SAQ

Exigences PCI DSS

Les 12 Exigences de Conformité PCI DSS

Comment Déterminer Votre Niveau de Conformité PCI

Qu'est-ce que les données de titulaire de carte selon la norme PCI DSS ?

Processus de Conformité PCI DSS, Délais et Coûts

Comment se conformer à la norme PCI DSS

Qu'est-ce qu'un audit PCI ?

Les Coûts de Conformité PCI

Combien de temps faut-il pour devenir conforme au PCI DSS ?

Automatiser la Conformité PCI DSS

Manuel vs Automatisé : Rationalisez la conformité PCI DSS

Les avantages économiques de l'automatisation de la conformité PCI DSS

Pourquoi l'automatisation de la conformité PCI DSS dévoile de meilleures perspectives de sécurité

Maintaining PCI DSS Compliance

Outils et ressources PCI DSS

Listes de contrôle et modèles PCI DSS

Ressources de formation PCI DSS

Évaluateurs de sécurité qualifiés PCI DSS de confiance

Entreprises de tests de pénétration PCI DSS

Fournisseurs de Scans Approuvés PCI DSS