25/04/2012

Hébergeur certifié PCI DSS ?

Avec l'approche de la deadline du 31 décembre 2012 de Visa pour les Merchant Agents (les PSP en bref), le marché des hébergeurs et des infogérants proposant une offre certifiée PCI DSS démarre.

L'hébergeur RUNISO ouvre la danse en France avec une offre d'hébergement et d'infogérance pour les entreprises souhaitant certifier leur environnement monétique.

Que signifie la certification PCI DSS dans le cas d'un hébergeur ?


Ce cas a été prévu dès le départ par le PCI Council, sous le nom Manager Service Provider (MSP). Dans le cas d'un MSP, le processus de certification donne lieu à un rapport de conformité dit "partiel" (Partial RoC). 
L'hébergeur choisit, avec son auditeur QSA, la liste des exigences PCI DSS auxquelles il souhaite répondre et documente les exigences auxquelles le client hébergé devra se soumettre de son côté.

Il s'agit donc pour l'hébergeur de proposer de remplir de facto certaines exigences pour ses clients, de faciliter la mise en place de certaines (par une infrastructure déjà en place pour les logs, les accès distants...) et de laisser le client avec les exigences qui lui incombent.

En effet, ce n'est pas parce qu'une banque ou un marchand choisit d'installer ses systèmes chez un hébergeur certifié PCI DSS qu'ils seront pas magie "PCI compliant" ! L'hébergé est toujours responsable de sa certification et devra passer son propre audit de conformité. Cependant, l'avantage est que chez un hébergeur certifié, le travail de mise en conformité et d'audit est facilité.



Un hébergeur certifié n'en vaut donc pas un autre ! 


Pour l'entreprise cliente de l'hébergeur, il faut demander le détail des exigences remplies et des exigences dont la responsabilité reste partagée avec l'hébergeur. Par exemple, pour le patch management : les firewalls sont patchés de façon autonomes pour l'hébergeur, mais les applications hébergées doivent être patchées par l'hébergé, ou tout du moins, l'hébergé doit faire une demande de travaux). La mise en place d'une matrice de définition des responsabilités de type RACI peut se révéler indispensable lorsque que beaucoup de responsabilités sont partagées.


8 commentaires:

  1. Ce commentaire a été supprimé par l'auteur.

    RépondreSupprimer
  2. Bonjour Frédéric,

    Responsable de NetBenefit en France, et lecteur assidu de vos posts, je suis tout a fait désolé de vous voir écrire que RUNISO "ouvre le Bal" en matière d'hébergeur certifié PCI DSS.
    NetBenefit est présent en France depuis 1999 et nous sommes certifié PCI DSS depuis plus de 2 ans.

    Si vous n'y voyez pas d'inconvénient, je me permettrai de vous communiquer plus d'informations dans un message à suivre.

    Bien cordialement,
    Eric Chauvigné

    RépondreSupprimer
    Réponses
    1. Est-ce que les serveurs physiques et les données PCI sont hébergées en France ?

      Supprimer
  3. Je ne retrouve pas ces deux sociétés sur la liste PCI Initiative

    RépondreSupprimer
  4. RUNISO est dans la liste, mais dans la rubrique Hosting : http://www.pci-initiative.org/pci-dss-certified/runiso

    RépondreSupprimer
  5. Sur quel site peut-on vérifier qu'un MSP est PCI DSS compliant ?
    Le site pci-initiative ne semble plus fonctionner.

    RépondreSupprimer