PCI-DSS v4.0
Atteignez la conformite PCI-DSS pour le traitement des cartes de paiement avec CyberOrigen.
Vue d'Ensemble
PCI-DSS (Payment Card Industry Data Security Standard) est requis pour toute organisation qui stocke, traite ou transmet des donnees de titulaires de carte.
Exigences
12 Exigences
| # | Exigence |
|---|---|
| 1 | Installer et maintenir des controles de securite reseau |
| 2 | Appliquer des configurations securisees |
| 3 | Proteger les donnees de compte stockees |
| 4 | Proteger les donnees du titulaire avec une cryptographie forte |
| 5 | Proteger les systemes contre les malwares |
| 6 | Developper et maintenir des systemes securises |
| 7 | Restreindre l'acces selon le besoin d'en connaitre |
| 8 | Identifier les utilisateurs et authentifier les acces |
| 9 | Restreindre l'acces physique aux donnees du titulaire |
| 10 | Journaliser et surveiller tous les acces |
| 11 | Tester regulierement la securite |
| 12 | Soutenir la securite par des politiques et programmes |
Niveaux de Validation
| Niveau | Criteres | Validation |
|---|---|---|
| 1 | >6M transactions/an | ROC annuel par QSA |
| 2 | 1-6M transactions/an | SAQ annuel, ASV trimestriel |
| 3 | 20K-1M e-commerce | SAQ annuel, ASV trimestriel |
| 4 | <20K e-commerce ou <1M autre | SAQ annuel, ASV trimestriel |
Pour Commencer
1. Activer le Referentiel
- Allez dans GRC → Referentiels
- Cliquez sur S'inscrire sur PCI-DSS v4.0
- Selectionnez le type de SAQ applicable
- Cliquez sur Activer
2. Definition du Perimetre
Definissez votre Environnement de Donnees du Titulaire (CDE) :
- Systemes qui stockent/traitent/transmettent les CHD
- Systemes connectes
- Systemes de securite
3. Evaluation des Lacunes
- Lancez une analyse de conformite
- Examinez les exigences
- Identifiez les lacunes
- Planifiez la remediation
Exigences Cles
Exigence 6 - Developpement Securise
| Sous-Exig. | Titre | Fonctionnalite CyberOrigen |
|---|---|---|
| 6.2 | Identification des vulnerabilites | Analyse de vulnerabilites |
| 6.3 | Developpement securise | SAST avec Semgrep |
| 6.4 | Securite des applications web | Analyse d'applications web |
| 6.5 | Gestion des changements | Suivi des changements |
Exigence 11 - Tests de Securite
| Sous-Exig. | Titre | Fonctionnalite CyberOrigen |
|---|---|---|
| 11.2 | Analyses de vulnerabilites | Analyse trimestrielle |
| 11.3 | Tests de penetration | Rapports d'analyse |
| 11.4 | Detection d'intrusion | Renseignement sur les menaces |
Exigences d'Analyse
Analyse Interne
Exigence 11.2.1 : Analyses trimestrielles de vulnerabilites internes.
CyberOrigen fournit :
- Planification automatisee
- Resultats mappes a la conformite
- Suivi de remediation
- Reporting des tendances
Analyse Externe
Exigence 11.2.2 : Analyses trimestrielles externes par ASV.
Les analyses CyberOrigen repondent aux exigences PCI :
- Perspective externe
- Analyse complete des ports
- Analyse SSL/TLS
- Reporting de conformite
Tests de Penetration
Exigence 11.3 : Tests de penetration annuels.
CyberOrigen supporte :
- Evaluation basee sur les analyses
- Documentation des resultats
- Verification de remediation
Mappage des Controles
CyberOrigen mappe PCI-DSS aux autres referentiels :
| PCI-DSS | SOC 2 | ISO 27001 |
|---|---|---|
| 1.1 | CC6.6 | A.8.20 |
| 2.1 | CC6.1 | A.8.9 |
| 3.4 | CC6.7 | A.8.24 |
| 6.1 | CC7.1 | A.8.8 |
| 7.1 | CC6.1 | A.5.15 |
| 8.1 | CC6.1 | A.5.16 |
| 10.1 | CC7.2 | A.8.15 |
| 11.2 | CC7.1 | A.8.8 |
Collecte des Preuves
Preuves Automatisees
- Rapports d'analyse de vulnerabilites
- Evaluations de configuration
- Revues d'acces
- Topologie reseau
Preuves Manuelles
- Politiques et procedures
- Diagrammes de flux de donnees
- Plans de reponse aux incidents
- Registres de formation
Types de SAQ
SAQ A
E-commerce, toutes les donnees du titulaire externalisees :
- Exigences minimales
- Principalement politiques et gestion des fournisseurs
SAQ A-EP
E-commerce avec externalisation partielle :
- Exigences des applications web
- Securite des redirections
SAQ D
Evaluation complete pour prestataires de services ou commercants :
- Les 12 exigences
- Documentation complete
Activites Trimestrielles
- Analyse de vulnerabilites interne
- Analyse de vulnerabilites externe (ASV)
- Revue de surveillance de l'integrite des fichiers
- Revue des acces utilisateurs
- Analyse du reseau sans fil
Activites Annuelles
- Test de penetration
- Revue des politiques
- Formation de sensibilisation a la securite
- Test de reponse aux incidents
- Evaluation des risques
Lacunes Courantes
| Exigence | Probleme | Solution |
|---|---|---|
| 2.1 | Mots de passe par defaut | Politique de mots de passe |
| 3.4 | PAN non chiffre | Implementation du chiffrement |
| 6.2 | Systemes non corriges | Gestion des correctifs |
| 8.3 | Pas de MFA | Deploiement MFA |
| 11.2 | Analyses manquantes | Planification des analyses |