Les différents acteurs de la chaine de paiement soumis à PCI DSS se
tournent de plus en plus vers les mesures compensatoires lorsque que
pour des contraintes métiers ou techniques il n’est pas possible de
répondre à une ou des exigences PCI DSS.
Paradoxalement en France les mesures compensatoires ne sont que très peu utilisées, ce qui a posé par le passé une conformité PCI DSS contraire à la réglementation en vigueur du pays dans lequel on se trouve (je parle toujours de la France), l’exigence de stocker 3 mois minimum les séquences vidéos enregistrées dans les salles informatiques (cf. exigence 9.1.1) est un bon exemple !
Paradoxalement en France les mesures compensatoires ne sont que très peu utilisées, ce qui a posé par le passé une conformité PCI DSS contraire à la réglementation en vigueur du pays dans lequel on se trouve (je parle toujours de la France), l’exigence de stocker 3 mois minimum les séquences vidéos enregistrées dans les salles informatiques (cf. exigence 9.1.1) est un bon exemple !
À l'exception de l'exigence 3.2 (ne pas stocker les données de la piste…) toutes les exigences PCI DSS peuvent être satisfaites par une mesure compensatoire. L’annexe C du standard PCI DSS rappel les informations requises dans le cadre de l’utilisation de mesures compensatoires pour satisfaire une exigence PCI. Il est également rappelé que seules les entreprises qui ont procédé à une analyse des risques et ont des contraintes métiers ou techniques légitimes documentées peuvent envisager l’utilisation de mesures compensatoires pour se mettre en conformité.
Dans la version 2 du standard PCI DSS, les informations suivantes sont requises pour une mesure compensatoire :
- l’identification et la documentation des contraintes qui ne permettent pas remplir l’exigence PCI initiale. Les raisons peuvent être business ou techniques, dans les deux cas elles doivent être légitimes (exemple : absence de protection du PAN sur un système en fin de vie ne supportant pas le chiffrement…)
- la définition de l’objectif de l’exigence PCI initiale ainsi que l’objectif satisfait par la mesure compensatoire. Le document « Navigating PCI » est une bonne si on manque d’idée
- l’identification des risques qu’induit l'absence de l’exigence PCI initiale
- la définition de la mesure compensatoire, l’argumentaire qui l’accompagne décrivant comment la mesure répond à l’objectif de l’exigence PCI initiale et comment les risques résiduels sont couverts
- la manière dont la mesure compensatoire a été validée et testée
- la définition des mesures en place pour la gestion de la mesure compensatoire
Dans tous les cas c’est le QSA qui validera la mesure compensatoire, pour les commerçants il est impératif d’avoir l’accord de l’acquéreur dans le cas où la contrainte métier à un enjeu important car c’est au final l’acquéreur qui prendra ou non les risques d’accepter la mesure compensatoire, le QSA n’aura qu’un rôle de contrôleur et validera la conformité. C’est donc plus de flexibilité à négocier avec son acquéreur. C’est totalement différent avec les PSPs (Payment Service Providers) qui ont directement à faire aux réseaux.
Les mesures compensatoires permettent d’atteindre la conformité PCI, une utilisation excessive peut néanmoins un travail important supplémentaire à supporter chaque année car les mesures compensatoires sont remises en question au moins une fois par an par le QSA. De plus il est fortement recommander avant de s’engager dans une mesure compensatoire d’évaluer toutes les alternatives : réduction du périmètre, suppression d’une fonctionnalité, externalisation, applications PA-DSS …
Aucun commentaire:
Enregistrer un commentaire