Certification PCI DSS

La vérification de toutes les exigences du standard

Durant le pré-audit et l’audit de certification, nous aborderons ainsi l’ensemble des sujets relatifs aux exigences applicables :

  • L’architecture et le durcissement des équipements réseau de la plateforme (chapitre #1) ;
  • Le filtrage et la segmentation réseau (chapitre #1) ;
  • La configuration et le durcissement des systèmes d’exploitation, services web et bases de données (chapitre #2 et #3) ;
  • Les mécanismes de chiffrement et la gestion des clefs (chapitre #3) ;
  • Le chiffrement et la transmission sur les réseaux publics (chapitre #4) ;
  • La gestion des antivirus (chapitre #5) ;
  • Le suivi des correctifs de sécurité (chapitre #6) ;
  • La sécurité du développement et la revue de code (chapitre #6) ;
  • La gestion des comptes et des politiques de mots de passe (chapitre #7 et 8) ;
  • La sécurité physique (chapitre #9) ;
  • La traçabilité des accès et les actions techniques (chapitre #10) ;
  • Les scans de vulnérabilités et les tests d’intrusion (chapitre #11) ;
  • Les documentations (chapitre #12) ;

Mais aussi :

  • La gestion des équipements de sécurité (IDS, WAF, FIM, etc) ;
  • Les modes d’administration ;
  • Les procédures de sécurité récurrentes ;
  • La traçabilité de l’exécution des processus sécurité ;
  • La gestion du changement ;
  • La conformité des prestataires ;
  • Etc.
pci_concept_2

Une certification en trois étapes

XMCO propose de réaliser la certification en 3 étapes.

Etape #1 – le pré-audit

Trois mois avant la date de certification, XMCO réalise un pré-audit qui permettra de faire le point sur l’ensemble des sujets couverts par la certification. A ce titre, nous réaliserons des entretiens, des relevés de configuration et une analyse documentaire.

 

Etape #2 – l’audit de certification

Suite à l’identification et à la correction de points de non conformités découverts durant le pré-audit, XMCO réalisera l’audit de certification.

L’audit couvrira toutes les exigences du standard :

  • Sécurité technique et physique
  • Organisation/processus
  • Documentation

 

Etape #3 – la rédaction des documents officiels

Enfin, le QSA rédigera les documents officiels (SAQ, ROC, AOC) et vous enregistrera auprès des marques de cartes.