Salut,
Le site officiel https://www.pcisecuritystandards.org/ est bien fait, tu devrais y trouver tout ce dont tu as besoin, notamment dans la "document library" : https://www.pcisecuritystandards.org/document_library
En gros, quelques éléments : - tu dois identifier quels équipements (serveur, switch, firewall, etc.) sont dans le "scope" (i.e. «par lesquels transitent des numéros de carte de crédit»). - tu dois maintenir les systèmes à jour et avoir une planification pour ça (par exemple "installation des màj de sécurité mineures tous les 1ers mardis du mois, et màj de sécu majeures dans la semaine où le patch est dispo") - définir un mot de passe unique pour un seul utilisateur autorisé à accéder à un seul serveur depuis la console (i.e. accès physique), le mot de passe devant être stocké dans une enveloppe scellée et devant être changé quand il est utilisé.
...bref ce genre de choses.
Les restrictions peuvent varier, mais il me semble que tout est fait de manière progressive, tout ne doit pas être fait en une fois / la même année. C'est un process continu, c'est à dire que régulièrement on vérifie si tes systèmes sont conformes (histoire d'être sûr que tu mérites bien ton logo "PCI-DSS machin certified").
On 15/09/2017 11:01, Stephane Coater wrote:
Hello la liste,
Je souhaite faire certifier PCI DSS une future architecture de paiements CB (3 millions de transactions / ans) pour nos besoins.
Avez vous des conseils de bonnes pratiques à suivre avant de débuter ?
Avec quel organisme certificateur avez vous travaillé ? J'en ai contacté 3 français parmis tous ceux qui existent, ils sont overbooké les 6 prochains mois.
Merci,
Stéphane
Liste de diffusion du FRsAG http://www.frsag.org/