Vous êtes sur la page 1sur 2

PROCÉDURE DE

CONFORMITÉ AUX
NORMES PCI DSS
liées à l’infrastructure et à plusieurs processus impliqués dans
Comment sécuriser les l’ensemble du processus de transaction.

données de cartes sensibles Il est important de noter que les tierces parties impliquées dans votre
processus de conformité sont aussi conformes. Une évaluation
avec les normes de sécurité de approfondie permettra de comprendre totalement toutes les
vulnérabilités possibles et les endroits où il faudra y remédier.
données PCI (PCI DSS)
Le questionnaire d’auto-évaluation (QAE)
Il est crucial d’obtenir et de préserver la conformité afin que la Le QAE est un outil de validation pour les marchands éligibles et les
cybersécurité de l’entreprise soit correctement et efficacement prestataires de service qui auto-évaluent leur conformité aux normes
protégée contre les cybercriminels cherchant à voler des informations PCI DSS.
de carte. Évaluateurs agréés
Les marques de paiement ont convenu d’inclure les normes de Le Conseil fournit des programmes pour deux types d’experts
sécurité des données PCI comme composantes des exigences indépendants afin de les aider dans leur évaluation PCI : Évaluateur
techniques pour chacun de leurs programmes de conformité à la de sécurité agréé (Qualified Security Assessor, QSA) et Fournisseur
sécurité des données. Les cinq marques accepteront aussi la d’analyse approuvé (Approved Scanning Vendor, ASV). Les QSA
validation lorsqu’elle sera reconnue par les évaluateurs de sécurité ou disposent de personnel formé et de processus pour évaluer et
approuvée par les fournisseurs d’analyse, des parties agréées par le prouver la conformité aux normes PCI DSS. Les ASV fournissent des
Conseil des normes de sécurité PCI. logiciels commerciaux et des services d’analyse pour réaliser des
évaluations de vulnérabilité externes pour votre système. Les normes
Par conséquent, la première étape pour obtenir des informations sur PCI SSC fournissent aussi des ressources éducatives aux marchands et
la manière de devenir conforme et de maintenir sa conformité aux aux prestataires de service, y compris de la formation pour les
normes PCI DSS est de contacter le fournisseur de services liés aux Évaluateurs de sécurité internes (Internal Security Assessor, ISA).
cartes de paiement.
RÉSOLUTION
Si vous n’avez pas de fournisseur de services liés aux cartes de
paiement, nous vous suggérons de contacter la filiale de la banque Objectif : processus de réparation des vulnérabilités.
avec laquelle vous travaillez. Évaluation de votre réseau à l’aide de logiciels qui analysent
l’infrastructure et repèrent les vulnérabilités connues

Examen et résolution des vulnérabilités trouvées lors de


Exigences concernant les l’évaluation sur site (le cas échéant) ou par le biais du processus
d’auto-évaluation
normes de sécurité des
Classification et hiérarchisation des vulnérabilités pour aider à
données PCI établir un ordre de priorité pour la résolution
ÉVALUATION
Objectif : faire l’inventaire de vos actifs IT et processus commerciaux Mise en œuvre de correctifs, réparations, contournements et
pour le traitement des cartes de paiement, et les analyser à la modifications au niveau des processus et flux de travail non
recherche de vulnérabilités qui pourraient exposer les données des sécurisés
titulaires de carte. Nouvelle analyse pour vérifier que la résolution a vraiment eu lieu
L’évaluation a pour responsabilité de reconnaître tous les problèmes RAPPORT
possibles qui se traduiraient en un risque pour la sécurité des
données de titulaires de carte qui sont transmises, traitées ou Objectif : compiler les dossiers requis par les normes PCI DSS pour
stockées par votre entreprise. La lecture des informations du site Web valider la résolution et envoyer les rapports de conformité à la banque
PCI DSS vous permettra de mieux comprendre les exigences détaillées et aux marques de carte de paiement avec lesquelles vous travaillez.
Des rapports réguliers sont requis pour la conformité aux normes PCI et les exigences de rapport, contactez votre fournisseur de services
DSS ; ceux-ci sont soumis à la banque et aux marques de carte de liés aux cartes de paiement ou la marque de votre carte de paiement.
paiement avec lesquelles vous travaillez. PCI DSS n’est pas
responsable de la mise en œuvre de la conformité aux normes PCI
DSS. Il sera peut-être demandé à tous les marchands, prestataires de
services et agents traitant les informations de soumettre des rapports
d’analyse trimestriels qui devront être élaborés par un ASV agréé PCI
SSC. Il sera peut-être demandé aux entreprises ayant des volumes de
transaction plus petits de soumettre une attestation annuelle dans le
questionnaire d’auto-évaluation. Pour plus de détails sur la validation
Source : Démarrer avec les normes PCI DSS Résolution
Si vous avez des questions, veuillez vous référer à notre FAQ