PCI DSS, le double défi : obtenir la certification et la maintenir
Obtenir PCI DSS, en tant que processeur pour le compte de VISA est un enjeu stratégique et commercial. Préserver cette certification est un enjeu organisationnel.
L'obtention de la certification PCI DSS est un défi pour toute entité souhaitant obtenir le fameux certificat de conformité. Il faut être en capacité de trouver un juste milieu entre niveau de sécurité requis par la norme et niveau de sécurité cohérent avec ces activités tout en ne perturbant pas la productivité.
Il faut savoir fédérer ses équipes tout en ayant la capacité de fournir un état des lieux de la conformité à la hiérarchie. Pour finir, il faut s'organiser pour pouvoir maintenir la conformité dans le temps, tout en assurant un bon système de contrôle continu des mesures mises en place. Et nous sommes là pour ça.
Le match parfait
Une approche de validation de votre conformité en 4 volets
Une véritable collaboration entre vos équipes et les nôtres
Et concrètement ?
6
années consécutives de certification PCI DSS pour cette entité
4
périmètres certifiés : acquisition, passerelle de paiement, émission et compensation
2
datacenters également été certifiés
Notre méthodologie
Nos équipes proposent une approche de validation de votre confomité à un standard de sécurité sur la base d'une démarche en 4 volets. Cette démarche repose sur une véritable collaboration avec vos équipes qui vise le maintien dans le temps de votre conformité.
Diagnostic de l'existant et définition du périmètre
L'étude de vos contextes et parcours de paiment, leur documentation et l'identification des technologies en place sont nécessaires à la formalisation du périmètre afin de déterminer le traitement et le stockage des données sensibles.
Cette étape permet d'établir et de prioriser les phases du projet de conformité au standard visé.
Audit à blanc et trajectoire d'implémentation
L'analyse d'écarts permet de visualiser votre conformité avec des indicateurs et des conclusions contenant un plan de remédiation pour chaque non conformité
Pour cela nous procédons à un état des lieux de vos process et procédures, des entretiens avec vos équipes pour comprendre leur fonctionnement et leur responsabilité vis-à-vis des risques.
Audit de certification et rédaction des rapports
Nos auditeurs accrédités procèdent à la réalisation d'un audit (méthodologie ISO27001). Ils préparent des entretiens avec les parties prenantes en s'appuyant sur la revue documentaire et réalisent des tests de sécurité logique et physique. La collecte des preuves permet de rédiger les conclusions de l'audit et de délivrer un certificat de conformité.
Maintien du niveau de sécurité requis
Le pilotage et l’accompagnement au déploiement des solutions de mise en conformité sont primordiaux pour se mettre en conformité et la maintenir. Nous vous accompagnons dans la veille, la formation et la sensibilisation de vos collaborateurs, la rédaction de vos documents et l’interprétation des scans de vulnérabilités et de tests d’intrusion.
Regards croisés
Travailler avec nos équipes c'est s'assurer d'une bonne interprétation des exigences des standards auxquels votre entreprise est soumise. Et ainsi s'assurer du maintien de votre certification dans le temps.
Paulo Fernandes
Manager | Oaklen Consulting
L'accompagnement de nos experts c'est garantir une maitrise de vos risques par rapport à votre périmètre d'activité et à vos enjeux. Nos équipes vous accompagnent dans l'élaboration de votre stratégie et vos orientations cybersécurité.
