21/10/2011

PCI DSS Self-Assessment pour les marchands ?


Les marchands devant répondre à leur banque concernant leur conformité par rapport au PCI DSS peuvent être perdus dans le choix du questionnaire à remplir. 




En effet, le PCI DSS propose 5 questionnaires d'auto-audit (Self Assessment Questionnaire ou SAQ) permettant aux marchands de réaliser l'audit eux-mêmes, sans passer par un QSA.

Cette tendance tend à s'arrêter pour les marchands de niveau 2 (entre 1 et 6 millions de transactions), car les banques demandent de plus en plus souvent le passage par la case QSA (auditeur accrédité).

Les marchands de niveau 2 et inférieurs (moins de 6 millions de transactions annuelles par cartes) doivent donc déterminer le questionnaire à remplir.

Voici une petite synthèse des guidelines officielles du PCI SSC.

Self-Assessment Questionnaires simplifiés:
  • SAQ A : Pour les sites e-commerce qui utilisent une page de paiement hébergée par un prestataire de paiement certifié PCI DSS.
  • SAQ B : Pour les magasins qui utilisent uniquement des terminaux de paiement (TPE) connectés par téléphone (RTC) au centre de traitement bancaire.
  • SAQ C-VT : (VT : Virtual Terminal) Pour les marchands qui acceptent des paiements sur une application web d'un prestataire de paiement certifié PCI DSS (appelé TPE virtuel). Pour être éligible au SAQ C-VT, l'ordinateur utilisé doit être isolé, non connecté au réseau.
  • SAQ C : Pour les magasins qui utilisent des terminaux de paiement (TPE) ou une application de paiement sur un poste) connectés par Internet (ADSL ou autres) au centre de traitement bancaire. Il s'agit du pendant du SAQ B, mais pour ceux qui utilisent Internet et non une ligne téléphonique.

Self-Assessment Questionnaire complet:
  • SAQ D : Pour tous sites e-commerce (vente à distance) et les magasins (vente de proximité) qui ne sont pas éligibles. Le SAQ-D correspond aux 220 exigences du PCI DSS.
Les marchands de niveaux 1, c'est-à-dire les marchands dont le Système d'Information voit transiter plus de 6 millions de transactions dans l'année, ne sont pas éligibles aux "Self-Assessments" et doivent alors se faire auditer par un auditeur accrédité QSA (Qualified Security Assessor). Le QSA devra alors remplir un rapport complet appelé RoC (Report On Compliance).

Il est important de noter que les exigences PCI DSS pour le SAQ-D et pour le RoC sont strictement les mêmes : 220 exigences de sécurité. La seule différence réside dans le format du rapport qui est nettement simplifié pour les marchands de moyenne taille (SAQ-D : environ 25 pages), par rapport à un RoC de 300 pages très détaillées.

Aucun commentaire:

Enregistrer un commentaire