Analyse des écarts PCI DSS

Qu'est-ce qu'une analyse des écarts ?

Une analyse des écarts PCI DSS est généralement la première étape entreprise par une organisation afin de déterminer son niveau de conformité. Elle fournit une comparaison détaillée de ce que l'organisation fait actuellement par rapport à ce qui devrait être fait pour se conformer à la norme PCI DSS.

Tout commence avec un évaluateur de sécurité qualifié (QSA) qui mappe les processus d'informations critiques et l'infrastructure technique pour déterminer où les contrôles PCI ont un impact sur l'activité afin de :

  • définir l'approche la plus rentable pour respecter les obligations du PCI ; et
  • évaluer l'état de préparation pour un audit PCI à venir et identifier les contrôles déficients pouvant provoquer un échec de l'audit, avec des conséquences coûteuses pour l'organisation.

Après l’évaluation, votre QSA préparera un rapport complet fournissant un résumé et une analyse détaillée de l’état des contrôles, ainsi que des recommandations générales et des options de correction.

Nos consultants PCI sont prêts à vous offrir des conseils pratiques sur la meilleure approche pour examiner votre conformité et vous conseiller sur les domaines qui nécessitent une attention particulière. 

Discuter avec un expert


Le saviez-vous ?

Les organisations doivent non seulement se conformer à 100% à la norme PCI DSS, mais également en assurer la maintenance. Cela signifie que tous les contrôles de sécurité applicables sont en place. Toutefois, le rapport sur la sécurité des paiements Verizon 2018 indique que :

  • Seules 52,5% des entreprises ont atteint la pleine conformité lors de la validation intermédiaire du PCI DSS en 2017.
  • Moins d’une entreprise sur cinq (18%) mesure ses contrôles DSS dans l’ensemble de son environnement plus souvent que ce qu’exige la norme.

La complaisance conduit à des violations, pratiquement toutes les organisations concernées par ces violations ne se conformaient pas à la norme.


Benéfices de l'analyse des écarts PCI DSS :

En identifiant vos écarts, vous pouvez:

  • avoir une meilleure visibilité quant à votre niveau de conformité à la norme PCI DSS ;
  • identifier les domaines nécessitant une attention immédiate et des mesures correctives rentables, en termes de priorités ;
  • améliorer les prévisions de coûts et la justification budgétaire d'un programme de conformité à la norme PCI DSS ; et
  • prendre conscience de la capacité de votre entreprise à se conformer à toute nouvelle version de la norme, telle que PCI DSS v3.2.

Une analyse des écarts PCI DSS vous convient-elle ?

Si vous êtes responsable de l’implémentation de la norme PCI DSS dans votre organisation, vous devez vous poser les questions suivantes :

  • Avez-vous besoin de définir la portée du projet ?
  • Lancez-vous un nouveau programme ou revoyez-vous votre niveau actuel de conformité ?
  • La méthode utilisée par votre organisation pour accepter les paiements a-t-elle évolué pour répondre à la demande des entreprises et des clients ?
  • La technologie ou les processus pour stocker, traiter ou transmettre les données de la carte ont-ils changé ?
  • Des organisations similaires ont-elles subi une violation des données du titulaire de carte ?

Notre processus d'engagement

Le service prend généralement plusieurs jours sur site pour que nos QSA puissent rencontrer les responsables supervisant le programme PCI DSS ; le personnel clé impliqué dans l'administration du réseau et les systèmes de détenteurs de cartes ; et les personnes responsables des procédures et politiques de l'entreprise.

1. Portée :

Un exercice de cadrage est effectué en évaluant de manière critique le CDE et les composants du système qui y sont connectés afin de déterminer la portée nécessaire aux exigences de la norme PCI DSS.

2. Collecte d'informations préalable à l'évaluation :

Au cours de cette étape, nous confirmons que le périmètre correct a été identifié pour les personnes, les processus et les composants système pour la conformité PCI.

3. Evaluation et analyse :

Une évaluation détaillée du CDE est réalisée, notamment : entretiens avec les parties prenantes, examen de la documentation relative aux politiques et aux procédures et évaluation des contrôles de sécurité.

4. Post-évaluation et rapport :

Un plan visant à combler le fossé entre votre posture de sécurité actuelle et la conformité totale à la norme est fourni, démontrant les actions correctives nécessaires et vous permettant de réduire le risque de violation de données. 

Comment IT Governance peut vous aider :

Nos services fournissent un itinéraire sur mesure vers la conformité PCI, adaptable à votre budget et à vos besoins.

Nous allons plus loin qu'une simple approche « oui/non » pour comprendre les mesures de sécurité.

Nous travaillons en partenariat pour vous aider à comprendre ce qui est requis et pourquoi vous donner le contrôle.

Nous pouvons offrir notre expertise pour vérifier les contrôles compensatoires et déterminer s'ils sont acceptables.


Obtenez un devis sur mesure pour notre service d'analyse des écarts PCI DSS

Une analyse des écarts PCI DSS réalisée par un QSA IT Governance mappera les processus d'informations critiques et l'infrastructure technique. En évaluant votre état actuel de conformité, nous pouvons définir la méthode la plus rentable pour respecter les obligations de la norme PCI DSS. Nous avons une équipe de responsables de comptes et d’évaluateurs de sécurité qualifiés pour discuter de vos défis PCI DSS. Contactez-nous, pour plus d'informations.


Discuter avec un expert

Notre équipe de consultants en sécurité est à votre disposition pour discuter de vos défis PCI DSS.

haut