Quand un Audit PCI est-il requis ?

À moins que vous ne vous soyez caché dans une grotte ou échoué sur une île isolée au milieu de l’océan au cours de la dernière décennie, vous savez probablement que la prévalence des attaques de cybersécurité a augmenté de manière exponentielle.

Lors de la dernière violation, l’organisation financière HSBC était la cible. L’attaque a entraîné l’exposition d’informations personnellement identifiables d’un nombre encore non divulgué de comptes. Il est probable que des chiffres solides seront annoncés une fois que la portée de l’attaque sera pleinement comprise.

Les attaques contre le secteur financier deviennent malheureusement la norme. En fait, un nouveau rapport parrainé par IBM a souligné que le secteur des services financiers est la verticale industrielle la plus attaquée aujourd’hui. En effet, les violations au sein de ce marché vertical sont financièrement lucratives — coûtant en moyenne aux entreprises environ 3,7 millions de dollars en 2017.

Si vous êtes une entreprise qui traite les données de carte client, vous connaissez probablement les exigences de conformité conçues pour assurer la sûreté et la sécurité des données des titulaires de carte. Si vous avez été la cible d’une violation ou si vous n’avez pas examiné votre position de conformité PCI depuis un certain temps, vous devrez peut-être subir un audit de conformité PCI. Voici ce que vous devez savoir.

Qu’est-ce qu’un audit de conformité PCI DSS ?

Un audit de conformité PCI DSS évalue la robustesse de la sécurité de votre système de point de vente. L’audit se concentre principalement sur l’identification des vulnérabilités du système et la définition des procédures de sécurité et des meilleures pratiques pour vos systèmes. L’audit fournira également des recommandations sur la façon d’éviter que les données ne soient compromises.

La norme PCI DSS a été établie par les principales sociétés de cartes de crédit. Un ensemble de normes a été établi non seulement pour protéger les données des clients, mais aussi pour fournir un cadre aux organisations acceptant ou traitant les données des cartes à suivre.

Quels sont les niveaux de conformité et quels sont les moyens faciles de savoir à quel niveau, le cas échéant, vous vous situez?

Heureusement, le conseil PCI DSS a permis aux commerçants de déterminer assez facilement dans quelle catégorie de conformité ils s’inscrivaient. Tout est généralement basé sur le nombre de transactions qu’un commerçant traite.

Il existe actuellement quatre niveaux de conformité PCI :

Niveau 1 : Les commerçants traitent plus de 6 millions de transactions par carte par an.

Niveau 2 : Les commerçants traitent de 1 à 6 millions de transactions par an.

Niveau 3 : Marchands traitant de 20 000 à 1 million de transactions par an.

Niveau 4 : Marchands traitant moins de 20 000 transactions par an.

Les quatre niveaux exigent que les commerçants se soumettent à un questionnaire d’auto-évaluation (SAQ), à une analyse trimestrielle du réseau par un fournisseur de numérisation approuvé et à un formulaire d’attestation de conformité. Le niveau 1 exige tout ce qui précède et un rapport de conformité par un évaluateur de sécurité qualifié (QSA).

Qui effectue un audit de conformité pour vous?

Vous devrez passer un contrat avec un évaluateur de sécurité (QSA) qualifié et approuvé du Conseil des normes de sécurité PCI pour effectuer votre audit. Les QSA commencent par évaluer l’infrastructure de sécurité — procédures, politiques, réseaux et systèmes — puis vous donnent une évaluation des risques, vous fournissant des suggestions sur la façon d’améliorer la sécurité de vos données.

L’ASSQ examinera votre évaluation des risques avec vous et hiérarchisera les domaines à traiter. Ce schéma est nécessaire pour améliorer vos politiques de sécurité des données et guider votre personnel en dispensant une formation de sensibilisation à la sécurité.

Comment pouvez-vous vous préparer pour un audit?

Le moyen le plus simple de se préparer à un audit consiste à évaluer vos politiques et pratiques de sécurité des données existantes avant que l’audit ait lieu. Commencez par examiner la sécurité d’éléments tels que votre pare-feu réseau et vos systèmes d’intégrité de surveillance des fichiers pour détecter tout changement inhabituel ou critique.

Si vous ne savez pas comment ou par où commencer sur la voie de la conformité PCI, cliquez ici pour obtenir des conseils utiles.

Sachez que la non-conformité peut entraîner une amende de 5 000 à 500 000 for pour la banque acquéreuse, qui est très susceptible de transmettre les amendes au commerçant non conforme. De plus, si vous êtes déjà conforme à la norme PCI et que vous souffrez d’une violation de données, vous risquez de faire l’objet d’une suspension de l’acceptation de votre carte de crédit par votre banque, et non par le conseil PCI.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.