Site icon Allistic

Les opportunités d’un audit PCI-DSS

Des enjeux d’opportunités?

Parlons tout d’abord des différents enjeux :

Maintenant que je vous ai fais peur, parlons des nombreuses opportunités que cela peut vous générer :

 

 

 

Retex sur les enjeux : du jour 1 au jour J

Que cela soit lié à une contrainte apparue soudainement ou à la volonté de viser la certification (dû ou non à son caractère obligatoire), les entreprises initiant la démarche de certification se retrouvent souvent seules face à cette norme de 164 pages. Face et fort de ce constat, la question suivante se pose :”qui va s’en occuper?”. Entre les solutions internes qui engendre la nomination d’un “PCI Manager” ou d’une ressource ayant une double casquette et, la possibilité de se faire accompagner sur une partie plus ou moins importante du processus par une ressource externe, il est nécessaire de poser des bases sereines pour démarrer convenablement son processus de certification. 

 

 

Une fois l’équipe en place, les premières actions voient le jour, dont une des plus importantes qui est de définir son périmètre de certification que la norme appellera CDE pour “Cardholder Data Environment”. C’est dans ce dernier que les processus associés à la transmission, au stockage ou au traitement des données de titulaire de carte s’opéreront. 


La réalisation de plusieurs actions viendra évidemment s’ajouter à votre planning de certification. En voici quelques unes :

 

Si je peux vous donner un conseil, prenez votre temps et, si vous le pouvez, faites vérifier par un tiers la bonne réalisation de la plupart des actions menées au fur et à mesure de l’avancement de ces dernières.

L’avancement du projet se passe bien et vous souhaitez planifier l’audit de certification? Tâcher de vous poser certaines questions avant de vous faire auditer :

L’auditeur n’est pas là pour vous piéger. Il souhaite comprendre votre organisation, ses enjeux, le périmètre de certification et disposer d’interlocuteurs sachant sur les différents requirement afin de mener à bien son audit. Je rappellerai ici, si nécessaire, que l’on peut s’auditer soi-même ou si possible, de réaliser un audit à blanc, qui servira de grande répétition général avant le jour J.

Cet audit, que je trouve indispensable, apportera le complément d’informations qui aurait pu vous manquer le jour J sur un processus incomplet ou l’incapacité à fournir une preuve technique.

 

Après les dernières corrections, arrive le grand jour, le jour J. On parlera même d’une période J, étant donné que l’audit se réalise sur plusieurs jours. Comptez en moyenne 5 jours si votre CDE est applicable sur l’ensemble des conditions de la norme et que vous disposez d’un volume de transaction vous rendant éligible à la rédaction d’un ROC (Report Of Compliance), qui est, entre autre, le rapport prenant en compte le plus grand ensemble de mesures de sécurité applicables de la norme. 

 Pour avoir plus d’informations sur votre éligibilité aux différents niveaux d’éligibilité à la norme PCI-DSS, je vous invite à consulter ce document vous donnant un certain nombre d’informations pertinentes sur le sujet : lien

Les jours passent, et vous arrivez à la fin de la condition 12 (la dernière dans la version actuelle 3.2.1), ce qui en toute logique constitue la fin de l’audit, l’auditeur vous remercie pour votre accueil et s’engage à vous communiquer le rapport dans les meilleurs délais sans pour autant vous donner d’indication sur l’obtention ou non de la certification.

 

Il dispose de 30 jours maximum pour vous envoyer le rapport (ROC ou le questionnaire d’auto-évaluation SAQ) ainsi que l’AOC (Attestation Of Compliance) signé. Vous recevez un mail et/ou un coup de fil, c’est l’auditeur qui vous indique que vous avez rempli avec réussite l’ensemble des conditions et que vous êtes dorénavant certifié! Félicitations, le chemin fut long, parfois semé d’embûches, vous allez pouvoir souffler et annoncer à vos collaborateurs ainsi qu’à vos prospects l’obtention de la certification, vous permettant peut être d’avancer sur certains sujets qui étaient jusqu’alors bloqué de par cette condition sine qua non.

 

La norme étant valide 1 an, il sera important d’être rigoureux sur les contrôles périodiques à réaliser tout au long de l’année afin de ne pas avoir de surprise l’année d’après. Attention si votre CDE évolue de manière importante, un nouvel audit, pendant l’année de validité sera nécessaire. Je vous invite donc à mettre en place vos changements majeurs durant la période approchant la fin de validité de votre certification en cours.

Ce qu’Allistic peut vous apporter

Allistic peut vous accompagner tout au long de votre parcours de mise en place de la certification PCI-DSS. Nous pouvons vous aider à :

 

La liste étant non-exhaustive, n’hésitez pas à nous contacter afin d’obtenir des réponses à vos questions. Nous sommes à votre disposition.

Nous contacter ⬇️

LES ARTICLES QUI POURRAIENT ÉGALEMENT VOUS INTÉRESSER ..

Quitter la version mobile