NOS SERVICES DE CONFORMITÉ PCI-DSS
Qu'est-ce que la Conformité PCi-DSS ?
La norme PCI-DSS(Payment Card Industry Data Security Standard) est un ensemble d’exigences techniques et organisationnelles conçues pour aider les entreprises à protéger les données des cartes de crédit de leurs clients contre la fraude grâce à de solides mesures de sécurité des paiements. La norme PCI-DSS est supportée par les membres fondateurs du PCI Council : American Express, Discover Financial Services, JCB, MasterCard et Visa Inc. Pour garantir la sécurité des données relatives aux cartes, l’un des principaux contrôles de sécurité de PCI exige que les organisations effectuent une évaluation annuelle de la sécurité de leurs systèmes de traitement des cartes afin de corriger toute vulnérabilité technique susceptible de compromettre les paiements par carte ou leur traitement. Nos services de tests d’intrusion sont conçus pour faciliter la conformité aux exigences de la norme PCI-DSS.
Prévenez les amendes
Protégez les données de vos clients
Protégez les paiements par carte
Sécurisez des partenariats
Établissez une crédibilité
Améliorez votre cybersécurité
EXIGENCES PCI-DSS
Quelle est la Portée d'un Test d'Intrusion PCI-DSS ?
Les exigences de la norme PCI-DSS imposent aux organisations de tester la sécurité de tous les systèmes impliqués dans le traitement des cartes. C’est pourquoi l’étendue des tests pour atteindre la conformité PCI peut varier d’une organisation à l’autre, en fonction de l’étendue de leur environnement de données des titulaires de cartes (CDE).
Test d'Intrusion
Internes
Test d'Intrusion
Externes
Sites web,
Applications ou API
WiFi / Sans-fil
Externes
Machines de
Paiement par Carte
Test d'Intrusion
Cloud
EXIGENCES
Exigences de Tests d'Intrusion de la Norme PCI-DSS
Nos services ont aidé des centaines d’organisations à se conformer aux exigences annuelles PCI-DSS :
Exigence 6.1 de la norme PCI DSS
Mettez en place un processus d’identification des vulnérabilités de sécurité dans vos applications internes et externes, en utilisant des sources extérieures réputées pour obtenir des informations sur les vulnérabilités de sécurité, et attribuez un classement de risque (par exemple, » élevé « , » moyen » ou » faible « ) aux vulnérabilités de sécurité nouvellement découvertes.
Exigence 6.2 de la norme PCI DSS
Assurez-vous que tous les logiciels et les composants du système sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité applicables fournis par le fournisseur. Vous devez installer les correctifs dans le premier mois suivant leur publication.
Exigence PCI DSS 11.3.1
Effectuer des tests d’intrusion externes au moins une fois par an et après toute modification ou mise à niveau significative de l’infrastructure/application (par exemple, mise à niveau du système, ajout d’un sous-réseau ou d’un serveur web à l’environnement, etc.)
Exigence PCI DSS 11.3.2
Effectuer des tests d’intrusion internes au moins une fois par an et après toute modification ou mise à niveau importante de l’infrastructure ou de l’application (par exemple, mise à niveau du système d’exploitation ou ajout d’un sous-réseau ou d’un serveur web dans l’environnement).
Exigence PCI DSS 11.3.3
Les vulnérabilités découvertes lors des tests d’intrusion doivent être corrigées et des tests supplémentaires doivent être effectués jusqu’à ce que les vulnérabilités identifiées aient été corrigées avec succès.
Exigence PCI DSS 11.3.4
Si la segmentation est utilisée pour isoler le CDE des autres réseaux, un test de pénétration doit être effectué au moins une fois par an et après modification des méthodes / contrôles de segmentation pour vérifier que les méthodes de segmentation sont opérationnelles et efficaces.
Besoin d'un Test d'Intrusion Pour Vous Conformer à PCI-DSS?
Questions Fréquentes
Il existe une quantité significative d’informations à déchiffrer lorsqu’il s’agit de la conformité PCI. Si vous n’avez pas trouvé la réponse à votre question ci-dessous, n’hésitez pas à demander à un expert.
Comment Vumetric m'aide-t-il à répondre aux exigences de la norme PCI-DSS ?
Nos services sont spécialement conçus pour vous permettre de satisfaire aux exigences de la norme PCI-DSS de manière efficace, sans aucune approximation. Nous fournirons la preuve, par le biais d’un rapport technique et d’une attestation officielle, que vous avez identifié et corrigé avec succès toute vulnérabilité exploitable au sein des systèmes de traitement des cartes et de votre infrastructure externe, permettant ainsi à votre organisation de se conformer aux exigences des normes PCI-DSS 6.x et 11.3.x.
Combien coûte un test d'intrusion PCI ?
Le coût d’un test de pénétration PCI varie considérablement en fonction de l’étendue de votre environnement de données des titulaires de cartes (CDE). Pour cette raison, il n’y a pas de tranche de prix établie pour ce type d’évaluation. Pour connaître le coût de votre test d’intrusion, contactez nos spécialistes pour obtenir une soumission 100% gratuitement. Apprenez-en davantage sur les facteurs qui déterminent le coût →
Quelle est la différence entre un scan PCI automatisé et un test d'intrusion complet?
Les tests d’intrusion et les scanners entièrement automatisés sont les techniques les plus courantes pour identifier et corriger les failles de cybersécurité au sein de vos technologies, ce qui vous permet de répondre aux exigences 6 et 11. Bien que les scans peuvent constituer un excellent point de départ pour ceux qui ne disposent pas des ressources nécessaires pour effectuer des tests manuels, ils peuvent ne pas être suffisants pour se conformer à la norme PCI en raison de leur nature automatisée. Seuls les professionnels expérimentés devraient se fier aux scans pour se conformer à la norme PCI, car ces outils peuvent ne pas identifier toutes les vulnérabilités qui pourraient compromettre votre CDE, laissant vos systèmes de traitement des cartes vulnérables, pouvant conduire à des amendes coûteuses si vos systèmes inadéquatement sécurisé sont victimes d’un incident. En savoir plus sur les principales différences entre les scans de vulnérabilité et les tests d’intrusion →
Vos tests peuvent-ils affecter la stabilité de mon traitement des paiements ?
Diverses mesures sont prises par nos spécialistes pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales. Sauf lors d’instructions spécifiques, nos spécialistes s’abstiennent d’effectuer tout type d’attaque perturbatrice pouvant, par exemple, provoquer un déni de service. Ainsi, la plupart de nos clients ne peuvent percevoir aucun impact de nos tests en raison des mesures rigoureuses que nous déployons pour mener nos projets de la manière la plus transparente possible.
Puis-je stocker les données des titulaires de cartes une fois que je serai conforme à la norme PCI-DSS ?
Selon les normes PCI-DSS, les commerçants et les fournisseurs sont autorisés à stocker les données des titulaires de cartes une fois qu’ils sont conformes. Certains acquéreurs peuvent autoriser le stockage de données d’authentification sensibles, mais uniquement avant l’autorisation du paiement.