27/05/2013

Les hébergeurs et les datacenters peuvent-ils être certifiés PCI DSS ?


Oui, les hébergeurs et les datacenters peuvent se faire certifier. C'est même prévu par le PCI DSS, sous le chapitre "Managed Service Provider" dans le ROC.


En fait, les hébergeurs peuvent même - d'une certaine façon - choisir les exigences qu'ils souhaitent remplir et laisser les autres à leurs clients hébergés. Le QSA de l'hébergeur garantit son périmètre et le QSA du client garantit le reste.

Ainsi, un hébergeur peut se clamer être "certifié PCI" mais ne remplir en réalité que l'exigence 9.4 (suivi des visiteurs dans les salles). Sur les 226 exigences, le client ne devra donc en remplir plus que 225 ! 

Il est donc primordial de demander le ROC à un hébergeur "PCI" pour savoir précisément quelles sont les exigences remplies et celles qui restent à la charge des clients.

Dans le wording PCI, on peut distinguer 4 catégories d'hébergeurs :

Hosting Provider – Hardware : que l'hébergement des serveurs physiques, de l'électricité et un accès réseau. (le plus souvent, une cage privée dans un datacenter). Aucune infogérance des systèmes, mis à part le reboot hardware.

Hosting Provider – Web : un repository web, le plus souvent mutualisé. Le client n'a pas accès aux systèmes directement et l'hébergeur est en charge de la maintenance système.

Managed Services : C'est le cas de l'infogérant. Le plus souvent, l'hébergeur s'occupe de la maintenance système, réseau, base de données, etc. 

ISP: C'est le cas des FAI standards (Fournisseurs d'Accès Internet), considérés comme des simples "tuyaux" ; le PCI DSS ne s'applique pas à eux.

Je rajouterai une 5e catégorie : 

Network Provider/Transmitter : C'est le cas des fournisseurs de réseaux privés (TNS, LYRA...). Ce ne sont pas des hébergeurs, mais souvent, ils fournissent aussi des services hébergés.

L'enjeu est donc pour un hébergeur de construire une offre de services et un SLA qui aideront ses clients à être plus facilement conformes au PCI DSS. Mais aucun hébergeur ne rendra un client conforme par le simple fait de l'héberger, car la certification et la responsabilité des cartes reposent toujours sur l'entité finale (le marchand ou le fournisseur de services).

Aucun commentaire:

Enregistrer un commentaire