Systèmes de paiements électroniques, êtes-vous conformes au standard PCI DSS ?

Le standard de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été développé dans le but d’encourager et de renforcer la sécurité des données de titulaires de carte ainsi que pour faciliter l’adoption de mesures de sécurité uniformes à l’échelle mondiale.

Le standard PCI DSS sert de référence aux conditions techniques et opérationnelles conçues pour protéger les données de compte. Il s’applique à toutes les entités impliquées dans le traitement des cartes de paiement, notamment les commerçants, les entreprises de traitement, les acquéreurs, les émetteurs et les prestataires de services. Le standard s’applique également à toutes les autres entités qui stockent, traitent ou transmettent les données de titulaires de cartes et/ou les données d’identification sensibles.

CNPP est une société PCI QSA (Payment Card Industry Qualified Security Assessor) : organisme de sécurité indépendant ayant été qualifié par le PCI SSC pour valider la conformité d’une entité au standard PCI DSS.

Nous vous proposons une large gamme de services dans le cadre d’une conformité au standard PCI DSS :

• vous accompagner pour la mise en conformité,
• réaliser des audits de conformité,
• sensibiliser vos utilisateurs,
• réaliser des scans ASV,
• réaliser des tests d’intrusion,

Pour aller plus loin, vous former ou pour former vos équipes, consultez nos formations en cybersécurité.

Nos consultants PCI QSA sont des auditeurs ayant satisfait à l’ensemble des exigences qui leur incombe en termes de compétences, de déontologie et d’impartialité. Basés en France, ils interviennent partout en Europe et en Afrique.

Nous proposons les étapes suivantes :

• workshop stratégique de définition des enjeux et du périmètre,
• pré-audit de l’environnement, formalisation et suivi des non-conformités,
• audit de conformité,
• réalisation du Report on Compliance (ROC), de l’Attestation of Compliance (AOC) ainsi que du certificat de conformité.

L’exigence 12.6.1 du standard PCI DSS prévoit la mise en œuvre d’un programme formel de sensibilisation à la sécurité à destination de l’ensemble du personnel à la politique et aux procédures de sécurité relatives aux données de titulaires de carte de paiement.

Nous proposons des modules de sensibilisation en e-learning permettant une mise en œuvre simple et rapide avec la possibilité de toucher un grand nombre de collaborateurs de manière simultanée.

L’exigence 6.5 du standard PCI DSS prévoit la mise en œuvre d’un programme formel de sensibilisation à la sécurité à destination de l’ensemble du personnel à la politique et aux procédures de sécurité relatives aux données de titulaires de carte de paiement.

Nous proposons des modules de sensibilisation en e-learning permettant une mise en œuvre simple et rapide avec la possibilité de toucher un grand nombre de collaborateurs de manière simultanée.

L’exigence 11.2.2 du standard PCI DSS prévoit la réalisation trimestrielle de scans de vulnérabilités ASV (Approved Scanning Vendors) dans le but de détecter les vulnérabilités du système d’information.

Dans ce cadre, nous réalisons ces scans ASV selon plusieurs méthodes :

• Scans managés : solution « clé en main » qui repose à la fois sur des compétences humaines et des outils spécifiques (nos consultants spécialisés interviennent sur la réalisation des scans, l’étude des résultats et la qualification des vulnérabilités, l’édition des rapports et leur présentation aux équipes, le suivi et l’assistance pour la correction des vulnérabilités).

   

• Solution autonome : mise à disposition des solutions applicatives auprès des équipes IT de nos clients.

L’exigence 11.3.2 du standard PCI DSS prévoit d’effectuer des tests d’intrusion internes au moins une fois par an et après tout changement ou mise à niveau significatif de l’infrastructure ou de l’application (par exemple, mise à niveau du système d’exploitation ou ajout d’un sous-réseau ou d’un serveur Web dans l’environnement).

En savoir plus sur les tests d’intrusion.