La certification PCI DSS nécessite la conformité de l’entreprise à l’ensemble des exigences de la norme en matière de sécurité. Elle ne pourra donc être délivrée seulement si l’intégralité de ces exigences est mise en place à l’issue de l’audit.

Le rapport de conformité, ainsi que toute autre documentation requise, comme les rapports d’analyse ASV, devront être remis, par la suite, à l’acquéreur (dans le cas de commerçants), à la marque de carte de paiement ou à tout autre demandeur (dans le cas de prestataires de services).

Les étapes

Les étapes de l’évaluation de certification PCI DSS se compose des étapes suivantes :

  1. Définition du Périmètre PCI DSS
  2. Évaluation sur Site (analyse documentaires, techniques, interview du personnel)
  3. Analyse des écarts et plan des actions correctives
  4. Implémentation des correctifs
  5. Vérification et Validation de la conformité
  6. Consolidation du rapport de conformité (ROC : report on compliance)

Conformément à la norme PCI DSS V3.2.1 de mai 2018, des tests d’intrusion applicatif et réseau annuel ainsi que des scans de vulnérabilité trimestriels ASV sont indispensables à cette certification.

Scan de Vulnérabilité PCI

Les Scans de Sécurité PCI permettent d’identifier les vulnérabilités et problèmes de configuration relatifs aux sites Web, applications et infrastructures.

Conformément à la section 11.2.1 de la norme PCI DSS (V3.2.1 de mai 2018), des scans de vulnérabilité doivent être réalisés au moins une fois par trimestre, ou après chaque modification importante sur le réseau (installation d’un nouveau composant système, changement dans la typologie du réseau, modification des règles de firewall, mises à jour produit).

Tests d’intrusion

Conformément à la section 11.3.2 de la norme PCI DSS (V3.2.1 de mai 2018), des tests d’intrusion internes et externes doivent être réalisés au moins une fois par an et après toute modification importante de son infrastructure ou de son réseau.

Les tests d’intrusion diffèrent des scans de vulnérabilités PCI. En effet, Sysdream réalise 80 % de ces tests manuellement et exploite les vulnérabilités identifiées.

Les principales étapes du test d’intrusion pratiquée par Sysdream sont les suivantes :

  • Découverte du périmètre
  • Prise d’informations
  • Cartographie et énumération
  • Recherche de vulnérabilités
  • Exploitation de vulnérabilités
  • Élévation des privilèges
  • Camouflage des traces
  • Maintien d’accès
  • Propagation