Nous contacter

Conformité PCI PIN

Se conformer au PCI PIN pour démontrer que votre organisation répond à toutes les exigences relatives à la gestion, au traitement et à la transmission des données PIN.
Nous contacter

Qu'est-ce que le code PIN PCI ?

La norme de sécurité PCI PIN est un ensemble d'exigences visant à garantir la sécurité de la gestion, du traitement et de la transmission des numéros d'identification personnels (PIN) utilisés dans les transactions par carte de paiement. 

La norme de sécurité PIN PCI comprend des exigences techniques détaillées pour la protection des PIN tout au long du processus de transaction par carte de paiement, depuis le moment où le PIN est saisi au point de vente (terminal de carte de crédit ou distributeur automatique de billets) jusqu'au moment où il est transmis en toute sécurité à l'émetteur de la carte à des fins de vérification.

La norme couvre un large éventail de mesures de sécurité, notamment la sécurité physique des dispositifs de saisie du code PIN, le cryptage des données du code PIN pendant la transmission et la gestion sécurisée des clés.

une personne qui utilise une carte de crédit pour payer le service d'une machine, symbolice PCI P2PE

Votre plan en 3 étapes pour la conformité PCI PIN

1

Identifier le champ d'application de votre PCI PIN

Un atelier de définition du champ d'application est une session de collaboration au cours de laquelle les parties prenantes et les experts se réunissent pour définir le champ d'application d'une évaluation de la conformité au PCI PIN.

2

Effectuer une analyse des lacunes

L'analyse des lacunes permet d'identifier les domaines dans lesquels une organisation risque de ne pas répondre aux exigences et d'élaborer un plan pour combler ces lacunes.

3

Engager un QSA pour effectuer un audit PIN sur place

Une évaluation PCI PIN est une évaluation formelle de l'adhésion d'une organisation aux exigences de sécurité PCI PIN.

Voici comment nous aidons les fournisseurs de services PIN

Ces services sont conçus pour vous aider à identifier ce qui doit être fait, jusqu'à l'obtention de votre attestation officielle de conformité au code PIN (AOC).

homme portant un polo gris à côté d'un autre homme en chemise blanche à côté d'un tableau effaçable à sec

Conformité

Atelier de définition du champ d'application du PCI PIN

Un atelier de délimitation du champ d'application du PCI PIN est une session de collaboration entre un évaluateur de la sécurité du PIN et l'organisation qui fait l'objet d'une évaluation de la sécurité du PCI PIN. L'objectif de l'atelier est d'identifier et de définir la portée de l'évaluation, ce qui implique de déterminer quels sont les systèmes, les processus et les personnes qui relèvent de la portée de l'évaluation et ceux qui n'en relèvent pas.

L'atelier de délimitation du champ d'application du PCI PIN est une étape importante du processus de conformité PCI, car il permet de s'assurer que l'évaluation se concentre sur les systèmes et les processus les plus critiques pour la sécurité des données PIN, tout en évitant les coûts inutiles et les perturbations des opérations commerciales de l'organisation.

L'atelier de délimitation du champ d'application du PCI PIN comprend généralement les étapes suivantes :

  1. Identification des actifs et des systèmes concernés : L'évaluateur PCI collabore avec l'organisation pour identifier tous les actifs et systèmes impliqués dans le traitement, la transmission et le stockage des données PIN.

  2. Analyse de la segmentation : L'évaluateur analyse la segmentation du réseau et les contrôles d'accès logiques pour déterminer quels actifs sont dans le champ d'application et lesquels sont hors champ d'application.

  3. Identification des prestataires de services tiers : L'évaluateur aide l'organisation à identifier tous les prestataires de services tiers impliqués dans le traitement, la transmission ou le stockage des données PIN.

  4. Définition des limites du périmètre : Sur la base de l'analyse des étapes précédentes, l'évaluateur et l'organisation définissent le périmètre de l'évaluation, qui comprend les systèmes, les processus et les personnes qui feront l'objet de l'évaluation.

  5. Documentation : Enfin, les résultats de l'atelier sont consignés dans un document de cadrage, qui sert de référence pour l'évaluation de la sécurité du PCI PIN.

Personne écrivant sa liste de choses à faire sur un livre

Conformité

Analyse des lacunes du PCI PIN

Une analyse des lacunes du PCI PIN est une évaluation menée par un évaluateur de sécurité qualifié de l'industrie des cartes de paiement (PCI) afin d'identifier les lacunes ou les déficiences dans les contrôles de sécurité d'une organisation liés au traitement, au stockage et à la transmission des numéros d'identification personnels (PIN) utilisés dans les transactions par carte de paiement.

L'objectif d'une analyse des lacunes du PCI PIN est d'identifier les domaines dans lesquels une organisation peut ne pas être conforme à la norme de sécurité du PIN de l'industrie des cartes de paiement (PCI PIN SSC) et de fournir des recommandations pour y remédier.

L'analyse des lacunes du PCI en matière de PIN comporte généralement les étapes suivantes :

  1. Détermination du champ d'application : L'évaluateur travaille avec l'organisation pour déterminer le champ d'application de l'analyse et les systèmes et processus qui seront évalués.

  2. Examen des contrôles actuels : L'évaluateur évalue les contrôles de sécurité actuels de l'organisation relatifs aux données PIN, tels que les politiques, les procédures et les contrôles techniques.

  3. Identification des lacunes : L'évaluateur identifie les lacunes ou les insuffisances dans les contrôles de sécurité de l'organisation relatifs au traitement, au stockage et à la transmission des données PIN.

  4. Recommandations de remédiation : L'évaluateur fournit des recommandations pour remédier à toute lacune ou déficience identifiée au cours de l'analyse.

  5. Rapport final : L'évaluateur fournit un rapport final qui résume les résultats de l'analyse, y compris les lacunes ou les déficiences identifiées et les recommandations pour y remédier.

Une analyse des lacunes du PCI PIN est un outil important pour les organisations qui traitent, stockent ou transmettent des données PIN. En identifiant les lacunes ou les insuffisances de leurs contrôles de sécurité, les organisations peuvent prendre des mesures pour remédier aux problèmes et se mettre en conformité avec le PCI PIN SSC. Cela peut contribuer à minimiser le risque de violation des données et à protéger les informations sensibles des titulaires de cartes.

personne tenant un crayon près d'un ordinateur portable prenant note d'une réunion d'évaluation du pci dss

Conformité

Évaluation PCI PIN (ROC/AOC)

Une évaluation PCI PIN est une évaluation de la conformité d'une organisation à la norme de sécurité PIN du Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC). La norme de sécurité PIN est conçue pour garantir la sécurité de la gestion, du traitement et de la transmission des numéros d'identification personnels (PIN) utilisés dans les transactions par carte de paiement.

L'évaluation PCI PIN est généralement menée par un évaluateur de sécurité qualifié de l'industrie des cartes de paiement (PCI) et comprend un examen des systèmes, processus et contrôles de l'organisation liés aux données PIN, y compris les dispositifs de saisie du PIN (PED), les réseaux de traitement du PIN et les systèmes de gestion des clés.

L'évaluation peut comprendre les éléments suivants :

  1. Inspection sur place : L'évaluateur peut procéder à une inspection sur place des installations de l'organisation afin d'évaluer la sécurité physique des dispositifs d'entrée par code PIN et des systèmes de gestion des clés.

  2. Entretien avec le personnel : L'évaluateur peut interroger le personnel responsable de la gestion des données relatives aux codes PIN afin d'évaluer sa connaissance et sa compréhension de la norme de sécurité des codes PIN et des processus connexes.

  3. Examen des politiques et des procédures : L'évaluateur peut examiner les politiques et procédures de l'organisation relatives aux données PIN afin de s'assurer qu'elles sont conformes à la norme de sécurité PIN.

  4. Tests techniques : L'évaluateur peut effectuer des tests techniques pour évaluer l'efficacité des contrôles de sécurité de l'organisation relatifs aux données PIN, tels que le cryptage et la gestion des clés.

  5. Analyse des écarts : L'évaluateur peut procéder à une analyse des lacunes afin d'identifier les domaines dans lesquels l'organisation n'est pas conforme à la norme de sécurité PIN.

Les résultats de l'évaluation PCI PIN sont généralement consignés dans un rapport, qui comprend un résumé des conclusions, des recommandations de mesures correctives et une certification de conformité (si l'organisation est jugée conforme à la norme de sécurité PIN). La certification est exigée par les sociétés de cartes de paiement et est nécessaire pour que les organisations puissent continuer à accepter des transactions par carte de paiement.

deux mains qui se tendent l'une vers l'autre comme nous aidons nos clients dans leur évaluation PCI DSS

Conformité

Assistance à la remédiation des PIN PCI

Un consultant expérimenté dans le domaine de la sécurité et de la conformité de l'industrie des cartes de paiement (PCI) peut apporter une aide précieuse pour remédier aux résultats d'une analyse des lacunes en matière de PIN PCI.

La collaboration avec un consultant peut aider une organisation à combler efficacement les lacunes ou les insuffisances identifiées dans le rapport d'analyse des lacunes du PCI PIN et à se conformer à la norme de sécurité du PCI PIN.

Voici quelques exemples de l'aide que peut apporter un consultant :

  1. Interprétation des résultats : Un consultant peut aider à interpréter les résultats du rapport d'analyse des écarts, à clarifier toute ambiguïté et à aider l'organisation à comprendre les domaines spécifiques qui doivent être abordés.

  2. Planification des mesures correctives : Un consultant peut collaborer avec l'organisation pour élaborer un plan de remédiation décrivant les étapes nécessaires pour combler les lacunes ou les déficiences identifiées dans le rapport d'analyse des lacunes. Le plan de remédiation doit comprendre des tâches spécifiques, des calendriers et des parties responsables.

  3. Conseils techniques : Un consultant peut fournir des conseils techniques sur la manière de mettre en œuvre les changements nécessaires pour combler les lacunes ou les insuffisances identifiées dans le rapport d'analyse des lacunes. Il peut s'agir de conseils sur la manière de mettre en œuvre des contrôles de sécurité spécifiques, des techniques de cryptage ou des stratégies de segmentation du réseau.

  4. Élaboration de politiques et de procédures : Un consultant peut contribuer à l'élaboration de nouvelles politiques et procédures ou à la mise à jour des politiques et procédures existantes afin de s'assurer qu'elles répondent aux exigences de la norme de sécurité PCI PIN.

  5. Soutien continu : Un consultant peut apporter un soutien continu à l'organisation lors de la mise en œuvre du plan d'assainissement, répondre aux questions qui se posent et fournir des conseils sur les meilleures pratiques pour maintenir la conformité avec la norme de sécurité PCI PIN.

Obtenez votre devis personnalisé pour le service PCI PIN.

Parce que votre entreprise est unique, nous avons créé un questionnaire PCI PIN conçu pour vous donner une évaluation personnalisée de vos besoins en moins de 5 minutes. 

Complétez le questionnaire pour obtenir un devis personnalisé pour votre environnement PIN unique.

Obtenir de l'aide pour la conformité PCI PIN

Si vous avez besoin d'une réponse rapide, nous sommes prêts à vous aider à faire avancer votre projet dès aujourd'hui.

Vos coordonnées

Linkedin-in X-twitter
247 CyberLabs
Industries
PCI et conformité
Tests de cybersécurité
Gouvernance et risques

© 2024 - 247 CyberLabs Ltd. Tous droits réservés.

Votre conseiller est prêt à vous aider dès maintenant.

Vos coordonnées