PCI DSS Conservation des preuves

Lors de notre audit PCI DSS, les QSA vont prendre un certains nombres de preuves confidentielles de l’entreprise. Cette obligation de communiquer les preuves aux formats électroniques posent bien entendu les problèmes de confidentialité ainsi que la façon dont celles-ci  vont être sauvegardés.

Le PCI SSC va demandé à notre société d’audit certifié PCI de conserver les preuves durant une période de 3 ans et 1 mois.

La société d’Audit fournit lors de la production du ROC la liste des preuves qu’elles souhaitent conserver et communiquer au PCI Council. Un PV nous ait remis.

Mais ensuite…

Le PCI SSC demande aux entreprises de conserver les preuves dans des coffres fort électronique et tout moyen sécurisé des preuves. Elle porte la responsabilité de la société d’Audit en cas de compromission du client final sans apport de preuve.

Mon expérience m’a amener à mettre en place un contrôle interne de la destruction des preuves via un PV (Le mieux est de passer par l’Audit Interne de la boite, ils sont parfait sur le coté « Reco N°34567 tu n’as pas oublié de…. »).

Si vous êtes parano comme moi de ce coté, j’ai mis en œuvre un répertoire sécurisé avec la copie des preuves emportés par le QSA. Cela me permet aussi de valider le PV de destruction des preuves. Ma mémoire étant limité je ne me souviens plus 3 ans plus tard combien/quelles preuves le QSA avait été pris.

Rien ne nous empêche de vérifier le stockage des preuves chez le prestataire. L’avantage des prestataires PCI DSS est qu’ils sont aussi audités par le PCI SCC. Le processus de maintien des preuves est formellement décris. On n’empêchera pas un vol de données chez le prestataire mais les données seront dans des coffres forts électronique ou des baies de disques chiffrées.

Ne pas hésiter à visiter les locaux de votre prestataire PCI DSS pour s’assurer du stockage des preuves.

Pour le maintien de la conformité, je vous invite à conserver sur une GED (Sharepoint, Alfresco…) la liste des preuves de votre bulle PCI DSS avec une journalisation de celle-ci.

Les avantages sont nombreux (Maintien de la conformité, suivi des scans, validation de la conformité de la bulle dans le temps et surtout un capital confiance fort de votre engagement PCI DSS au sein de l’entreprise dans le temps).

Maintenant, il ne reste plus qu’a vérifier régulièrement que mon prestataire efface les preuves en temps et en heure.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.