12 décembre
PCI-DSS : nous on y va !
PCI-DSS tout le monde en parle. On peut être d'accord ou pas, le fait est que ce "standard" est largement mis en oeuvre outre atlantique.
Beaucoup de clients Français nous posent la question : on y va ou on y va pas ?
La réponse est : ça dépend (faut vraiment être consultant pour répondre des trucs pareils...)
En
effet, ça dépend de beaucoup de facteurs : votre société fait-elle
partie d'un groupe international, votre RSSI a-t-il (ou va-t-il) mettre
en place un SMSI (ISO27001), avez-vous déjà fait l'objet d'attaques visant à voler des informations liées au Cartes Bancaires ?...
Le
fait est que nous autres Français ne sommes pas pressés d'y passer et
pour cause : le système des cartes à puces nous protège mieux que le
système plus simple utilisé aux USA.
Pour ma part, je pense que si
votre entreprise a déjà mis ou met en place un système de management de
la sécurité façon ISO27001, la conformité à PCI-DSS sera beaucoup plus
simple car la quasi totalité du référentiel se retrouve dans la norme
ISO (à quelques nuances près). Dans ce cas l'investissement (hors
audits) est minime et l'avantage concurrentiel important.
En ce qui nous concerne, nous y allons !
Nous (notre entité IT&LABS)
sommes en cours d'accréditation pour devenir auditeurs PCI-DSS et
visons l'accréditation pour Octobre 2008. Cette accréditation nous
permettra de réaliser des audits de certifications pour les client
souhaitant se mettre en conformité, de type :
- QSA : Qualified Security Assessor
- ASV : Aproved Scaning Vendor
Nous visons une certification pour plusieurs régions du monde (dont
l'Amérique du nord) et serions ainsi la première société Française dans
cette position.
J'ajoute enfin que nous sommes aujourd'hui en mesure
d'accompagner nos clients Français qui souhaitent viser une
certification à moyen terme pour d'ores et déjà se mettre en
conformité.
Partager cette note :
Laisser un commentaire