En réalisant un audit PCI, les marchands de Niveau 1 et certains marchands et prestataires de services de Niveau 2 peuvent mieux identifier et vous aider à comprendre les contrôles nécessaires à mettre en place pour se protéger contre les menaces potentielles qui pèsent sur les données des titulaires de carte et les systèmes qui touchent aux données des titulaires de carte.
Prêt à en savoir plus sur les audits PCI et ce qu'ils impliquent ? Trouvez ci-dessous les détails sur qui doit réaliser un audit et comment s'y préparer.
Qu'est-ce qu'un audit PCI DSS ?
Un audit PCI DSS, dirigé par un Evaluateur de Sécurité Certifié (QSA), examine comment votre entreprise traite les informations de paiement des clients conformément aux exigences définies dans le PCI DSS.
L'audit a trois objectifs principaux :
- Examiner les contrôles PCI actuels et identifier les lacunes
- Documenter les lacunes et fournir une liste des éléments de remédiation
- Vérifier que vous avez résolu tous les problèmes
Lors d'un audit PCI, le QSA examine vos contrôles actuels pour voir si vous respectez les 12 exigences PCI, soit directement, soit par des contrôles compensatoires. Le QSA rédige ensuite un Rapport de Conformité (RoC) ou atteste de votre SAQ pour vérifier la conformité de votre organisation.
Qui a besoin d'un audit PCI ?
Toutes les entreprises n'auront pas besoin de réaliser un audit PCI. Les marchands et prestataires de services de Niveau 1 sont les seules organisations tenues de réaliser un audit dirigé par un QSA et de compléter un RoC (sauf demande spécifique de votre organisation).
Les marchands et prestataires de services de Niveau 1 traitent le plus grand volume de paiements par carte de tous les quatre niveaux de PCI. Voici à quoi ressemble cette répartition :
- Niveau 1 - Marchand PCI DSS : Accepte les paiements par carte en échange de biens et services et traite plus de 6 millions de transactions par an
- Niveau 1 - Prestataire de services PCI DSS : Traite les données des titulaires de carte pour le compte d'une autre entreprise et traite plus de 300,000 transactions par an
Les marchands et prestataires de services de Niveau 2 peuvent également être tenus de réaliser un audit annuel et de valider leur SAQ.
Cependant, tous les marchands et prestataires de services qui ont subi une violation de données ayant compromis les données des titulaires de carte (CHD) pourraient être tenus de réaliser un audit annuel.
Que fait le QSA ?
Votre QSA examinera tous vos contrôles, politiques et procédures par rapport aux exigences du PCI DSS.
Les QSA vont également :
- Examiner les preuves fournies par votre entreprise
- Approuver (ou vous demander de modifier) la portée de votre PCI
- Évaluer vos contrôles compensatoires, qui sont des contrôles alternatifs pour satisfaire une exigence que l'entreprise n'est pas en mesure de mettre en œuvre à ce moment-là
- Vérifier si les normes PCI DSS sont respectées
- Produire et soumettre un rapport final complet (PCI AoC et RoC)
6 étapes d'un audit PCI
Pour vous aider à comprendre ce qu'implique un audit PCI, nous détaillons six étapes allant de la définition initiale de la portée jusqu'à la surveillance continue de la conformité PCI.
1. Définir votre périmètre
Lorsque vous déterminez ce qui entre dans le périmètre de votre évaluation PCI, vous devez identifier toutes les personnes, processus et technologies qui pourraient avoir un impact sur la sécurité des données des titulaires de carte.
Pour comprendre ce qui est dans le périmètre de votre entreprise, considérez tous les emplacements et flux de données des titulaires de carte ainsi que les systèmes auxquels ces données sont connectées (tels que les tiers et les fournisseurs de services) qui, s'ils sont compromis, pourraient affecter l'intégrité de ces informations.
Le périmètre PCI doit être réévalué chaque année pour garantir son exactitude. Conserver une documentation détaillée de la manière dont le périmètre PCI a été déterminé aidera votre auditeur à confirmer si la délimitation a été correctement effectuée.
2. Trouver un évaluateur de sécurité qualifié (QSA)
Les évaluateurs de sécurité qualifiés (QSA) sont les seuls évaluateurs agréés pour effectuer un audit PCI. Vous pouvez trouver un QSA ici ou en recherchant la liste officielle des QSA sur le site Web officiel du PCI.
Bien que de nombreuses entreprises externalisent les audits à un QSA, si votre organisation dispose de son propre auditeur interne, vous pouvez souhaiter qu'il reçoive une formation et une certification du Conseil des normes de sécurité PCI en tant qu'Évaluateur de Sécurité Interne (ISA). Les ISA sont également capables de compléter des audits PCI annuels.
3. Effectuer une analyse des écarts
Si vous recherchez une conformité initiale avec la norme PCI DSS, il peut être utile de faire une première analyse des écarts pour faciliter un peu le parcours de conformité.
Une analyse des écarts aide les commerçants et les fournisseurs de services à comprendre leur statut de conformité actuel avant d'entreprendre l'audit PCI plus complet.
Semblable à un audit officiel, un QSA, un ISA ou une personne expérimentée mène l'analyse des écarts pour générer un rapport qui énonce les conclusions vous permettant, en tant qu'organisation, de traiter de manière proactive les écarts dans vos contrôles de sécurité afin de potentiellement accélérer et rendre le processus d'audit plus efficace.
4. Compléter une évaluation dirigée par un QSA
Après une analyse des écarts, la prochaine étape sera que votre QSA effectue une évaluation approfondie.
L'évaluation impliquera :
- Revue de la documentation fournie par l'entreprise
- Validation de la présence des contrôles de sécurité requis
- Interviews des membres d'équipe pertinents
- Inspection des contrôles de sécurité physique
5. Traiter les problèmes de sécurité
Une fois que votre QSA a terminé son évaluation, il fournira une liste documentée des conclusions et vous permettra de potentiellement résoudre toutes les vulnérabilités ou contrôles manquants afin que vous puissiez recevoir un rapport de conformité (RoC).
Une fois ces non-conformités traitées et révisées par votre QSA, il vous enverra un RoC final pour que vous le passiez en revue. Une fois approuvé, votre RoC signalera à vos parties prenantes et à vos clients que vous êtes conforme PCI.
6. Continuer à surveiller les normes de sécurité PCI
Un RoC approuvé n'est pas la dernière étape de votre parcours de conformité PCI. Les entreprises qui doivent effectuer des audits dirigés par un QSA devront le faire chaque année.
Entre les audits, vous êtes responsable de la surveillance continue des contrôles de sécurité pour vous assurer que toutes les normes PCI sont respectées. Si votre entreprise évolue et que votre périmètre PCI change, vous devrez également le mettre à jour.
Maintenir la conformité PCI peut être écrasant. Cependant, il existe des outils et des conseils pour faciliter le processus, tels que :
- Effectuer des scans de vulnérabilité ASV
- Utiliser la collecte automatique de preuves
- Surveiller continuellement vos systèmes et contrôles internes
- Remplir et stocker les évaluations des risques des fournisseurs
FAQ sur l'audit PCI
Vous avez encore quelques questions persistantes sur l'audit PCI ? Nous répondons ci-dessous à certaines des questions les plus courantes.
Combien de temps dure un audit PCI ?
La durée d'un audit PCI dépend de plusieurs facteurs. Pour les entreprises qui passent par le processus de conformité PCI pour la première fois (ce qui inclut la mise en place de contrôles de sécurité), le processus complet peut durer environ six mois.
La partie travail de terrain d'un audit, qui implique qu'un QSA interviewe des membres de l'équipe et mène des tests pertinents, peut prendre environ six à huit semaines. Cependant, travailler avec une entreprise d'automatisation de la conformité comme Secureframe peut aider à raccourcir ce processus.
À quelle fréquence dois-je passer un audit PCI ?
Un commerçant ou un prestataire de services de niveau 1 devra subir un audit dirigé par un QSA ou un ISA chaque année.
Si vous êtes un commerçant ou un prestataire de services de niveau 2, 3 ou 4 qui a subi une violation de données ayant compromis les données de carte de vos clients, vous devrez également compléter un audit PCI.
Que se passe-t-il si vous échouez à un audit PCI ?
Contrairement à un test de mathématiques, un audit PCI n'est pas un test réussi/échoué. Pensez plutôt à un audit PCI comme une opportunité d'évaluer l'efficacité de vos contrôles de sécurité actuels — et de les renforcer.
Si votre QSA trouve des vulnérabilités dans vos pratiques de sécurité des données des titulaires de carte, vous pourriez échouer à cette section particulière de l'audit. Cependant, votre QSA vous donnera un « guide d'étude » pour vous aider à apporter les changements nécessaires afin d'obtenir la conformité PCI.
Bien qu'il soit préférable de ne pas découvrir de problèmes pendant l'audit, les identifier à cette phase peut vous éviter des problèmes de non-conformité plus importants à l'avenir. Ceux-ci incluent des conséquences financières et réputationnelles coûteuses.