Pour une entreprise traitant moins de 6 millions de transactions par carte de crédit, la mise en conformité avec le standard PCI-DSS peut se faire en 4 étapes :
1- La première étape consiste à réaliser une cartographie des personnes, applications et systèmes ayant un contact avec des informations de cartes de crédit.
2- La seconde étape consiste à sélectionner le questionnaires d’auto-évaluation « SAQ » qui correspond à votre manière de travailler avec les informations de cartes de crédit :
La liste des SAQ est disponible ici : https://www.pcisecuritystandards.org/document_library?category=saqs#results
Il est conseillé de se faire assister lors de la sélection d’un SAQ et de valider ce choix avec l’organisme qui gère vos paiements par carte de crédit (banques, fournisseurs de solutions de paiement).
3- La troisième étape, sera de mettre votre organisation en conformité avec le standard PCI-DSS. Pour ce faire, les personnes, applications et systèmes cartographiés à l’étape 1, ainsi que les systèmes pouvant communiquer avec ces applications/systèmes, devront respecter les contrôles dictés dans le formulaire d’auto-évaluation PCI-DSS « SAQ » sélectionné à l’étape 2. A ce stade, l’intervention d’un professionnel est vivement conseillée afin de réduire le champ d’application du standard PCI-DSS. Sans quoi l’organisation entière risque de devoir se conformer aux contrôles dictés par le standard. Ce qui peut être inutilement long et coûteux.
4- La dernière étape sera la complétion du formulaire SAQ d’auto-évaluation et sa soumission aux établissements bancaires et clients qui vous demanderont ce rapport.
Pour aller plus loin :
Le site du standard PCI DSS :
https://www.pcisecuritystandards.org
Liste des questionnaires d’auto-évaluation (SAQ) : https://www.pcisecuritystandards.org/document_library?category=saqs#results
Framework vous permettant de bien « scoper » les systèmes/applications/utilisateurs qui devront respecter le standard PCI-DSS :
https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/OpenPCIScopingToolkit.pdf
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/
Le site du standard PCI DSS :
https://www.pcisecuritystandards.org
Liste des questionnaires d’auto-évaluation (SAQ) : https://www.pcisecuritystandards.org/document_library?category=saqs#results
Framework vous permettant de bien « scoper » les systèmes/applications/utilisateurs qui devront respecter le standard PCI-DSS :
https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/OpenPCIScopingToolkit.pdf
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/
Aucun commentaire:
Enregistrer un commentaire