Répondre aux exigences du Pentesting PCI-DSS

Services de Conformité aux Test d’Intrusion PCI-DSS

Nos services aident les organisations à se conformer facilement aux exigences des tests de pénétration PCI-DSS avec un minimum de frais généraux.
Exigences PCI DSS 6.1, 6.2, 11.3.1, 11.3.2, 11.3.3, 11.3.4, etc.

Contactez un Spécialiste

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Vous avez un besoin urgent ?
Appelez-nous au 1-877-805-7475.

NOS SERVICES DE CONFORMITÉ PCI DSS

Qu'est-ce que la Conformité PCi-DSS ?

PCI DSS(Payment Card Industry Data Security Standard) est un ensemble d’exigences techniques et organisationnelles conçues pour aider les entreprises à protéger les données des cartes de crédit de leurs clients contre la fraude grâce à de solides mesures de sécurité des paiements. En d’autres termes, la norme PCI-DSS est appliquée par les membres fondateurs du Conseil PCI : American Express, Therefore, discover Financial Services, JCB, MasterCard et Visa Inc.

En d’autres termes, pour garantir la sécurité des données des cartes, l’un des principaux contrôles de sécurité de la norme PCI exige que les organisations procèdent à une évaluation annuelle de la sécurité de leurs systèmes de traitement des cartes, afin de corriger toute vulnérabilité technique susceptible de compromettre les paiements par carte ou leur traitement.

Nos services de test d’intrusion de pénétration sont conçus pour faciliter la conformité aux exigences des test d’intrusion PCI DSS.

Évitez les amendes coûteuses

Protégez les données des cartes de crédit

Protégez les systèmes de traitement des cartes

Sécurisez des partenariats commerciaux

Établissez la confiance chez votre clientèle

Améliorez votre cybersécurité

EXIGENCES PCI-DSS

Quelle est la portée d'un test de pénétration PCI-DSS ?

Plus important encore, les exigences de la norme PCI-DSS imposent aux organisations de tester la sécurité de tout système impliqué dans le traitement des cartes.

C’est notamment pour cette raison que la portée des tests de conformité à la norme PCI peut varier d’une organisation à l’autre, en fonction de l’étendue de l’environnement des données des titulaires de cartes (CDE).

Internal
Internes

Réseaux
Externes

Sites web,
Applications ou API

Réseaux
Externes

Machines de
Paiement par Carte

Cloud
Cloud

Exigences de Test d’Intrusion de PCI-DSS

Par exemple, nos services ont aidé des centaines d’organisations à se conformer à la norme PCI-DSS en effectuant un test d’intrusion annuel :

Exigence 6.1 de la norme PCI DSS

Par conséquent, il convient d’établir un processus analogue à l’identification des failles de sécurité pour obtenir un réseau sécurisé. De même, dans vos applications internes et externes, c’est-à-dire en utilisant des sources externes réputées pour la sécurité de l’information sur les vulnérabilités, attribuez ensuite un classement de risque (par exemple, “élevé”, “moyen” ou “faible”) aux vulnérabilités de sécurité nouvellement découvertes.

Exigence 6.2 de la norme PCI DSS

Tout d’abord, il faut s’assurer que tous les logiciels et composants du système sont protégés contre les vulnérabilités connues, notamment en installant les correctifs de sécurité fournis par le fournisseur. Avant tout, vous devez installer les correctifs dans le mois qui suit leur publication.

Exigence PCI DSS 11.3.1

Effectuez également des tests d’intrusion externes au moins une fois par an et après toutes les modifications ou mises à niveau importantes de l’infrastructure/application (par exemple,  mise à niveau supplémentairedu système, ajout d’un sous-réseau ou d’un serveur web à l’environnement, etc.)

Exigence PCI DSS 11.3.2

En conséquence  effectuer des tests d’intrusion internes au moins une fois par an et après toute modification ou mise à niveau significative de l’infrastructure ou de l’application (par exemple, mise à niveau du système d’exploitation ou ajout d’un sous-réseau ou d’un serveur web dans l’environnement).

Exigence PCI DSS 11.3.3

Par conséquent, les vulnérabilités découvertes lors des tests d’intrusion doivent être corrigées et des tests supplémentaires doivent être effectués jusqu’à ce que les vulnérabilités identifiées aient été corrigées avec succès.

Exigence PCI DSS 11.3.4

Si la segmentation est utilisée pour isoler le CDE d’un autre réseau sécurisé , destests d’intrusion doivent être effectués moins d’une fois par an et après modification des méthodes/contrôles de segmentation afin de vérifier que les méthodes de segmentation sont opérationnelles et efficaces.

Besoin de se conformer à la norme PCI-DSS ?

Questions Fréquentes

Il existe une quantité écrasante d’informations à déchiffrer lorsqu’il s’agit de conformité PCI. Si vous n’avez pas trouvé la réponse à votre question ci-dessous, n’hésitez pas à demander à un expert.

Nos services sont spécialement conçus pour vous permettre de répondre efficacement aux exigences de la norme PCI-DSS en matière de sécurité de l’information, sans qu’il soit nécessaire de jouer aux devinettes.

Nous fournirons la preuve, par le biais d’un rapport technique et d’une attestation officielle, que vous avez identifié et corrigé avec succès toutes les vulnérabilités exploitables au sein des systèmes de traitement des cartes et de votre infrastructure externe.

Il permet ainsi à votre organisation de se conformer aux exigences des normes PCI-DSS 6.x et 11.3.x.

Le coût d’un test de pénétration PCI test d’intrusion varie considérablement en fonction de l’étendue de l’environnement des données des titulaires de cartes (CDE).

Pour cette raison, il n’y a pas de tranche de prix établie pour ce type d’évaluation. Pour connaître le coût de votre test d’intrusion, contactez nos spécialistes pour obtenir un devis gratuit.

Apprenez-en davantage sur les facteurs qui déterminent le coût →

Les tests d’intrusion manuels et les scanners entièrement automatisés sont les techniques les plus courantes pour identifier et corriger les vulnérabilités de vos technologies en matière de cybersécurité, ce qui vous permet de satisfaire aux exigences 6 et 11.

Bien que les scans peuvent constituer un excellent point de départ pour ceux qui ne disposent pas des ressources nécessaires pour effectuer des tests manuels, ils peuvent ne pas être suffisants pour se conformer à la norme PCI en raison de leur nature automatisée.

Seuls les professionnels expérimentés devraient se fier aux scans pour se conformer à la norme PCI, car ces outils peuvent ne pas identifier toutes les vulnérabilités qui pourraient compromettre votre CDE, laissant vos systèmes de traitement des cartes vulnérables, pouvant conduire à des amendes coûteuses si vos systèmes inadéquatement sécurisé sont victimes d’un incident.

En savoir plus sur les principales différences entre les scans de vulnérabilité et les tests d’intrusion →

Diverses mesures sont prises par nos spécialistes pour prévenir l’impact potentiel de nos tests sur la stabilité de votre environnement technologique et la continuité de vos opérations commerciales.

Sauf lors d’instructions spécifiques, nos spécialistes s’abstiennent d’effectuer tout type d’attaque perturbatrice pouvant, par exemple, provoquer un déni de service.

Ainsi, la plupart de nos clients ne peuvent percevoir aucun impact de nos tests en raison des mesures rigoureuses que nous déployons pour mener nos projets de la manière la plus transparente possible.

Selon les normes PCI-DSS, les commerçants et les fournisseurs sont autorisés à stocker les données des titulaires de cartes une fois qu’ils sont conformes.

Certains acquéreurs peuvent autoriser le stockage de données d’authentification sensibles” sécurité de l’information”, mais uniquement avant l’autorisation de paiement.

Vumetric, Leader en Cybersécurité

Vumetric est une entreprise certifiée ISO9001 qui offre des tests d’intrusion, des audits de sécurité informatique et des services spécialisés en cybersécurité. Nous appliquons les bonnes pratiques de cybersécurité à chaque projet et avons fourni nos services à travers cinq continents. Nous comptons parmi nos clients des entreprises Fortune 1000, des PME et des agences gouvernementales.

Expérience pratique

Aucune sous-traitance

Transparence et réputation

Experts certifiés

Résultats concrets

Indépendance et impartialité

0 +
ANS D'EXPÉRIENCE
0 +
PROJETS
0 +
CLIENTS
0 +
CERTIFICATIONS

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.