Un aperçu complet de l’évaluation à distance PCI

  • FrançaisFrançais


  • Chaque entreprise a besoin de cybersécurité afin de sécuriser des données précieuses, de protéger ses clients et de garantir que l’entreprise se conforme aux normes et réglementations de l’industrie. Tout comme une voiture devant passer son CT chaque année, toute entreprise impliquée dans le traitement des paiements par carte ou qui stocke, traite ou transmet des données de carte de paiement doit faire régulièrement évaluer ses systèmes et contrôles de sécurité par rapport aux exigences de la sécurité des données de l’industrie des cartes de paiement. Standard (PCI DSS) pour garantir leur mise en place et leur efficacité. Ceci est encore plus important maintenant que les cybercriminels ajustent leurs tactiques d’escroquerie pour exploiter les préoccupations de tout le monde au sujet du COVID-19 et augmenter leurs cyberattaques, mais cela a conduit à une grande question – avec le verrouillage toujours en place dans de nombreux pays, ces évaluations de conformité PCI DSS être entrepris à distance?

    C’est la capacité d’une entreprise à maintenir ses contrôles de sécurité à tout moment qui est vitale pour la protection des données des cartes de paiement des clients et de l’entreprise. Tout comme le MOT d’une voiture, une évaluation de la conformité PCI DSS est simplement un point dans le temps pour vérifier que tout fonctionne correctement. L’évaluation de la conformité – en particulier lorsqu’elle est effectuée par un évaluateur de sécurité qualifié PCI (QSA) indépendant – confirme à nouveau pour l’entreprise (et d’autres parties intéressées telles que leur banque acquéreuse) que les contrôles de sécurité applicables sont réellement en place et “ fonctionnent correctement ”.

    Normalement, on s’attend à ce que la plupart des aspects d’une évaluation PCI DSS aient lieu sur place dans le centre de données de l’organisation, les bureaux, les magasins de vente au détail, etc. Cependant, le verrouillage et les restrictions de voyage nationales et internationales continuant d’entraver l’évaluation du site peut ne plus être possible. Cela a sans aucun doute conduit de nombreuses entreprises à croire que leur QSA ne pouvait pas terminer leur évaluation annuelle et a amené certains fournisseurs de services tiers à prétendre à leurs clients qu’ils ne pouvaient pas encore fournir leur attestation de conformité annuelle en raison du COVID-19 empêchant la performance du éléments sur place de leur évaluation.

    Mais ce n’est pas le cas. Tout comme les entreprises ont adapté leurs opérations à de nouvelles méthodes de travail sous COVID-19, le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC) a également mis à jour ses directives pour les évaluations sur site.

    S’adapter à un nouveau style de vie

    L’intention du PCI SSC est que l’évaluation de la conformité sur site soit la norme: que la majorité des tests d’évaluation soient effectués par le QSA sur les sites physiques de l’entreprise. Certaines méthodes de validation, telles que les observations de première main d’un processus en cours d’exécution ou la confirmation d’un contrôle de sécurité physique en place, ne pourraient être considérées comme valides que si l’évaluateur était sur place en personne.

    Cependant, même avant le COVID-19, l’évaluation sur place de certains des contrôles PCI DSS n’était pas toujours possible, pratique ou nécessaire. Le PCI SSC a reconnu en 2017 que l’évaluation de certaines exigences PCI DSS peut être réalisée à distance sans une visite sur place par le QSA. Ils ont décrit certains scénarios dans lesquels une évaluation sur site peut êtredéraisonnable et inutile«de sorte qu’une évaluation à distance puisse être justifiée – si un autre moyen de valider le contrôle et d’atteindre l’objectif de test sur site est disponible. Cependant, ces orientations ont également précisé que les QSA doivent être en mesure de défendre la performance à distance de toute procédure de test et que les activités d’évaluation à distance sont «devrait être l’exception».

    En réponse au climat actuel du COVID-19, le PCI SSC a récemment mis à jour ses directives d’évaluation à distance. Les évaluateurs et les participants à l’évaluation peuvent être exposés à un risque d’infection en se rencontrant en personne. En outre, les gouvernements ont mis en place des interdictions de voyager dans tout le pays pour les voyages non essentiels, encouragé la quarantaine et l’auto-isolement pour les personnes les plus à risque et, dans certains cas, fermé complètement les frontières de leur pays. Reconnaissant que les conditions locales peuvent empêcher entièrement l’évaluation sur place à court terme, le PCI SSC a donné des orientations plus détaillées sur ce que l’on attend des évaluateurs. Cela couvre la nécessité d’une justification documentée pour toute activité de test à distance et les étapes pour s’assurer que les tests à distance ont la même rigueur et fournissent un niveau équivalent d’assurance que les contrôles PCI DSS sont en place, comme une évaluation sur site. Il convient également de noter que les orientations du Conseil sont pertinentes pour tous les types d’évaluation PCI SSC où les tests sur site ne sont actuellement pas possibles et pas seulement pour les évaluations de conformité PCI DSS.

    Avec ce soutien du PCI SSC, plutôt que de reporter les évaluations de conformité des clients, les évaluateurs ont pu justifier et réaliser des évaluations à distance, et cela s’avère tout à fait faisable. Les activités qui auraient généralement lieu sur place, comme les inspections physiques du site, les entrevues et les observations «par-dessus l’épaule» (lorsque l’ASQ a quelque chose démontré ou montré), peuvent toutes être effectuées à distance. Le personnel sur place peut prendre le QSA sur une observation vidéo en temps réel des contrôles de sécurité du site; les entretiens peuvent être effectués à l’aide de plates-formes de conférence Web sécurisées, telles que WebEx ou Teams; les administrateurs travaillant à domicile peuvent accéder à distance aux systèmes à tester et partager leur bureau afin que le QSA puisse observer leurs actions sur le système. Tous ces éléments permettent de mener les procédures de test d’évaluation comme prévu.

    Suivre la qualité

    D’après mon expérience, il est possible de réussir une évaluation de la conformité grâce à des tests à distance. Les organisations doivent travailler avec leur évaluateur pour explorer activement des moyens et des méthodes acceptables pour effectuer des tests à distance, leur permettant de valider leur conformité à temps. Les organisations ne doivent pas simplement supposer que les restrictions COVID-19 signifient que leur évaluation ne peut pas avoir lieu; avec les orientations mises à jour du Conseil, il n’y a aucune excuse pour ne pas essayer de soutenir l’achèvement de leur évaluation annuelle.

    Cependant, cela ne signifie pas que les tests à distance sont sans problèmes ou sont toujours possibles. Par exemple, le personnel de l’entité évaluée peut également se voir interdire de visiter un site pour soutenir l’observation vidéo à distance de l’évaluateur. Ou il peut ne pas y avoir de méthode de test à distance appropriée disponible – l’évaluateur n’est pas autorisé à demander à l’organisation de violer une exigence PCI DSS ou de désactiver ou de contourner les contrôles de sécurité pour permettre des tests à distance.

    Le QSA doit également prendre des mesures pour garantir l’intégrité de l’évaluation à distance, cela peut signifier que l’évaluateur doit effectuer plus de travail pour s’assurer que les résultats sont valides et / ou que l’entité évaluée doit fournir des preuves supplémentaires à l’évaluateur. Par exemple, le QSA doit être en mesure de confirmer que les systèmes présentés pour les tests sont ceux sélectionnés par eux et sont les mêmes que ceux qui auraient été examinés sur place.

    Toutes les activités et les mesures prises pour garantir des résultats de test à distance précis, équivalents à ce qui aurait été attendu d’une évaluation sur site, doivent être consignées par l’AQ dans le rapport de conformité de l’entité évaluée.

    Même dans ce cas, pour certaines organisations, il peut être tout simplement impossible de réaliser des tests à distance de certains contrôles PCI DSS. Par exemple, un centre de données isolé où aucune visite de site n’est actuellement autorisée ou un centre où les caméras sont interdites. Si tel est le cas, le QSA devra déclarer les exigences PCI DSS concernées comme «non testées» et l’organisation ne pourra donc pas être validée comme étant conforme. Le PCI SSC est tout à fait clair qu’un évaluateur ne peut pas indiquer une conformité PCI DSS complète si des exigences applicables ont été exclues des tests; «Non testé» n’est pas une réponse affirmative comme requis pour indiquer la conformité dans la partie 3 de l’attestation de conformité. Il est recommandé aux organisations concernées – lorsqu’une ou plusieurs exigences ne peuvent pas être testées sur site ou à distance – de s’engager avec leur banque acquéreuse (s’il s’agit d’une organisation marchande) ou les marques de paiement (s’il s’agit d’un fournisseur de services) pour discuter des options. Les évaluations des programmes et des solutions répertoriés sur le site Web de PCI SSC – par exemple, les solutions de chiffrement point à point (P2PE) PCI – qui incluent des exigences «non testées» ne seront pas acceptées par le Conseil.

    Ce n’est plus un dernier recours

    Jusqu’à présent, les QSA avec qui j’ai parlé n’ont pas rencontré de problèmes où ils n’ont pas été en mesure d’organiser une méthode d’évaluation à distance appropriée. Dans certains cas, la planification d’appels vidéo d’évaluation à distance a en fait été plus facile que d’essayer de se coordonner avec plusieurs personnes pour une évaluation sur place. D’après leur expérience, l’évaluation à distance est parfaitement faisable et souvent plus facile à gérer, mais peut exiger du temps et des efforts supplémentaires pour avoir la même rigueur que les tests équivalents sur site.

    Une fois le verrouillage levé, on ne s’attend pas à ce que le PCI SSC change sa position selon laquelle les évaluations doivent être menées sur place dans la mesure du possible. Cependant, les déclarations publiques du Conseil précisant quand et comment les tests à distance peuvent être justifiés, ainsi que l’expérience pratique récente des évaluateurs et des entités évaluées en matière d’évaluation à distance, ont sensibilisé et compris que les tests à distance sont une alternative viable aux évaluations en face à face. .


    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *