PCI DSS – Déroulement de l’entretien

pciAprès le guide de l’Audité, on se pose tous la dernière question. Mais comment se passe un entretien avec un auditeur QSA ?

Je ne peux que partager mon expérience et je vous propose la checklist suivante qui sert de fil rouge lors des entretiens.

Bien entendu, cette checklist n’est pas une recommandation et votre QSA pourra avoir une approche totalement différente.

 

 

La checklist

  1. Identification des intervenants (Nom, Prénom, Fonction).
  2. Identification du périmètre de l’audité (Si vous êtes aux achats, on ne va pas vous parler réseaux…)
  3. Identification des composants dans votre périmètre.
  4. Choix des composants audités (suivant la taille de votre plateforme dans mon cas plusieurs centaines de serveurs).
  5. Revue des exigences applicables dans votre cas.
  6. Revue des demandes de créations/modification/suppression d’utilisateur sur un composant technique.
  7. Vérification des procédures sur les habilitations.
  8. Revues des changements.
  9. Revues des vulnérabilités et des patchs de sécurités sur les composants audités.
  10. Vérification du respect des politiques sur la gestion des vulnérabilités et l’application des mesures correctives de celle-ci.

Ceci est le début de l’entretien, et l’auditeur a une vision plus complète de votre rôle.

Bon courage 🙂