Fin février, le PCI SSC a publié un nouveau guide sur la mise en œuvre du standard PCI DSS pour les grandes entreprises.
Le guide part du postulat que plus l’entreprise se développe et est de taille importante, plus l’application des exigences PCI DSS peut devenir complexe à mettre en place et à maintenir dans le temps.
Lors de nos audits, nous constatons que pour nos clients ayant subi des croissances importantes ou des changements de structure juridique, le maintien de la conformité est un véritable challenge.
Pour illustrer le propos, nous pouvons prendre l’exemple d’un marchand déjà certifié PCI DSS pour son site de e-commerce. Ce marchand se fait acheter par un grand groupe disposant déjà de plusieurs entités marchandes disposant de canaux de paiement certifiés ou non PCI DSS. Ce type d’opération a un impact sur le périmètre PCI pour le marchand et au niveau du groupe.
En fonction du niveau d’absorption du marchand par le groupe, il peut y avoir des changements importants sur les équipes qui gèrent l’environnement, sur les procédures organisationnelles et techniques, sur la documentation et également nécessiter de revoir la stratégie de certification de l’ensemble du groupe.
Le guide propose des pistes de réflexion et des indications sur les sujets suivants :
- Les rôles et les responsabilités pour gérer au mieux la certification et son maintien
- Les stratégies de certifications (multiple, commune…) quand plusieurs canaux de réceptions de cartes de paiement sont présents
- L’utilisation d’outils techniques afin d’améliorer et d’automatiser les tâches suivantes
- Identification des ressources
- Centralisation des accès
- Suivi des mises à jour et des composants en fin de vie
- Configuration centralisée (par GPO ou par des outils de configuration automatisés)
- La formation et la sensibilisation d’un nombre significatif de personnes
En synthèse, ce guide présente une bonne base de réflexion pour nos clients et les entreprises ayant ou allant être confrontées à des changements de structures importantes.
Le guide est disponible sur l’espace documentaire du PCI SSC : https://www.pcisecuritystandards.org/documents/PCI_DSS_for_Large_Organizations_v1.pdf?agreement=true&time=1586156753172
[tline]
[big_title2]Référence[/big_title2]
https://blog.pcisecuritystandards.org/new-guidance-pci-dss-for-large-organizations