XMCO : We deliver security expertise

> Nos points forts :

+ Acteur de référence en France

+ Certifié PCI QSA

+ Références en monétique

+ Pragmatisme


> Outils logiciels

+ XMCO a créé un logiciel performant dédié à la recherche des numéros de carte sur les systèmes: + PANBuster



> Contacter XMCO

Vous souhaitez échanger avec un expert PCI QSA ?

Tel : +33 (0)1 47 34 68 61
pcidss@xmco.fr

Toutes nos coordonnées : + Contacts

Audit de certification PCI DSS

XMCO et le PCI DSS

XMCO est un cabinet d'audit accrédité PCI QSA. De nombreux acteurs ont déjà fait confiance à XMCO pour leur certification initiale et leur renouvellement annuel, dont certain(e)s:

  • Marchands (sites e-commerce, grands remettants)
  • Prestataires de Services de Paiement (PSP) et tiers techniques
  • Passerellistes et Switchs (Visa, Mastercard, AMEX, e-RSB)
  • Banques (acquéreurs et émetteurs)
  • Systèmes 3D-Secure
  • Hébergeurs
  • Centre d'Appels
PCI DSS

Principe de la certification PCI DSS

L'obtention de la certification PCI DSS requiert la conformité de votre environnement avec plus de 220 exigences de sécurité.

La certification doit être renouvelée annuellement par un audit sur site et la rédaction du Report on Compliance (RoC) par un auditeur QSA. Le RoC est envoyé aux marques de cartes Visa/MasterCard/Amex ou aux banques d'acquisition (pour les marchands).

Durée et coût d'une certification PCI DSS

Le coût d'un audit de certification dépend du nombre de systèmes qui composent le périmètre PCI DSS de l'entreprise. XMCO propose des prestations de conseil pour réduire le périmètre de certification : + Voir notre offre d'accompagnement PCI DSS.

L'audit n'engendre pas forcément la certification. En effet, la certification est délivrée uniquement si l'intégralité des exigences du standard sont en place au moment de l'audit (le fait de présenter un plan d'action à l'auditeur ne permet pas d'obtenir la certification). Nous recommandons aux entreprises de se préparer à l'audit par un pré-audit (audit à blanc).


Livrables

L'audit se conclut par un rapport d'audit et l'obtention de l'attestation de conformité signée. Voici les 3 documents qui seront livrés à l'issue de l'audit de certification:

- Le Report On Compliance (RoC) : le rapport détaillé,
- L'Attestation of Compliance (AOC) : document signé par le QSA
- Le certificat PCI : ce document rédigé et signé par XMCO pourra être envoyé à vos partenaires.

Les prestations indispensables à la certification

Test d'intrusion et scans de vulnérabilité

Le test d'intrusion (réseaux et applicatifs) doit être réalisé au minimum une fois par an ou après chaque modification importante (exigence PCI 11.3 et PCI 6.6) auprès d'une société externe spécialisée.
Voir notre offre de test d'intrusion : + Tests d'intrusion XMCO.

Des scans de vulnérabilité trimestriels (externes et internes) doivent être réalisés par un logiciel certifié PCI ASV. XMCO vous propose de piloter les scans ASV.

Processus organisationnels

Le standard PCI DSS exige que des processus de maintien du niveau de sécurité soient en place :

- Veille en vulnérabilité (voir CERT-XMCO)
- Revue de code (voir Audit de code XMCO
- Analyse de risque
- Revue bi-annuelle des règles firewall

Contacts |   Société