3 Mythes sur un projet PCI

pciA chaque projet PCI, on se retrouve devant des mythes et des légendes urbaines.

Je vous propose les 3 mythes que je rencontre lors de mes missions sur les projets PCI DSS.

 

 

Mythe N°1 – Avoir un logiciel ou matériel compatible PCI.

Beaucoup de vendeurs de matériels monétiques ainsi que les éditeurs de logiciels proposent des solutions compatibles PCI DSS. Les SSII aussi proposent leurs services en ce sens.

mais à ce jour, il n’existe aucuns produits/logiciels/services qui permettent de couvrir les 12 chapitres PCI.

Ces solutions permettent de répondre à certaines exigences pouvant éventuellement diminuer le temps de l’audit mais n’est en aucun cas une solution de rapidité et compatibilité pour obtenir la certification PCI DSS.

Mythe N°2 – Sous traité le processing de carte permet de devenir compliant PCI DSS.

Out-sourcer le traitement des données cartes de ces utilisateurs ne permet pas d’obtenir automatiquement la conformité et encore moins être compliant PCI DSS en signant un contrat de services. Le processeur doit répondre aux exigences du PCI SCC ainsi que le marchant / Processeur de cartes. Cette opération demandera aussi du temps et de l’argent.

Il faut savoir que le marchand aura toujours la responsabilité des données cartes et qu’il aura toujours le devoir de rembourser et de garantie les charges backs de ces clients.

Mythe N°3 – Le projet PCI est un Projet de la DSI

La DSI a pour objectif d’implémenter et de maintenir les composants PCI (Serveurs, DataCenter, Réseaux, Applications) mais le programme PCI DSS demande un engagement plus global de l’entreprise. Un projet PCI est totalement différent d’un projet DSI classique. Les projets DSI ont tous un début-un milieu-et une fin. Le projet PCI n’est qu’un début car la conformité demandera un effort permanent durant toute la période de maintien du certificat PCI DSS. Les risques en cas de compromissions ne peuvent être portés uniquement par la DSI. L’ensemble des départements de l’entreprise est concernée.

Mythe N°4 – PCI nous rend invulnérable et sure.

Obtenir la certification PCI DSS est une photo à un instant T et ne permet en aucun cas d’empêcher une tentative et/ou une compromission des données cartes stockés dans le SI. Le maintien  de la conformité PCI demande un travail quotidien et ce sont des efforts continuent qui permettent de maintenir un niveau de sécurité élevé.