Certification PCI DSS

Une certification en trois étapes

XMCO propose de réaliser la certification en 3 étapes.

Etape #1 – le pré-audit

Trois mois avant la date de certification, XMCO réalise un pré-audit qui permettra de faire le point sur l’ensemble des sujets couverts par la certification. A ce titre, nous réaliserons des entretiens, des relevés de configuration et une analyse documentaire.

 

Etape #2 – l’audit de certification

Suite à l’identification et à la correction de points de non conformités découverts durant le pré-audit, XMCO réalisera l’audit de certification.

L’audit couvrira toutes les exigences du standard :

  • Sécurité technique et physique
  • Organisation/processus
  • Documentation

 

Etape #3 – la rédaction des documents officiels

Enfin, le QSA rédigera les documents officiels (SAQ, ROC, AOC) et vous enregistrera auprès des marques de cartes.

La vérification de tous les points exigés par le standard

Durant le pré-audit et l’audit de certification, nous aborderons ainsi l’ensemble des sujets relatifs aux exigences applicables :

  • L’architecture et le durcissement des équipements réseau de la plateforme (chapitre #1) ;
  • Le filtrage et la segmentation réseau (chapitre #1) ;
  • La configuration et le durcissement des systèmes d’exploitation, services web et bases de données (chapitre #2 et #3) ;
  • Les mécanismes de chiffrement et la gestion des clefs (chapitre #3) ;
  • Le chiffrement et la transmission sur les réseaux publics (chapitre #4) ;
  • La gestion des antivirus (chapitre #5) ;
  • Le suivi des correctifs de sécurité (chapitre #6) ;
  • La sécurité du développement et la revue de code (chapitre #6) ;
  • La gestion des comptes et des politiques de mots de passe (chapitre #7 et 8) ;
  • La sécurité physique (chapitre #9) ;
  • La traçabilité des accès et les actions techniques (chapitre #10) ;
  • Les scans de vulnérabilités et les tests d’intrusion (chapitre #11) ;
  • Les documentations (chapitre #12) ;

 

Mais aussi :

  • La gestion des équipements de sécurité (IDS, WAF, FIM, etc) ;
  • Les modes d’administration ;
  • Les procédures de sécurité récurrentes ;
  • La traçabilité de l’exécution des processus sécurité ;
  • La gestion du changement ;
  • La conformité des prestataires ;
  • Etc.
pci_concept