Développée à l'origine en 2004 et maintenant en version 4.0, la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS) vise à renforcer la sécurité des données des titulaires de cartes et à faciliter l'adoption à grande échelle de mesures cohérentes de sécurité des données dans le monde entier. La norme s'applique à toutes les entités qui stockent, traitent ou transmettent les données des titulaires de cartes. Avec 12 exigences réparties sur six domaines, la norme est conçue pour garantir que les organisations disposent des contrôles et procédures appropriés pour sécuriser les données des titulaires de cartes.
En ce qui concerne la gestion des risques liés aux tiers, l'exigence 12 (Support Information Security with Organizational Policies and Programs), section 12.8 : Le risque pour les actifs informationnels associés aux relations avec les prestataires de services tiers (TPSP) est géré, indique que les prestataires de services tiers (TPSP) sont chargés de veiller à ce que les données soient protégées conformément aux exigences applicables de la norme PCI DSS et à ce qu'ils soient en conformité. La norme PCI définit les fournisseurs de services tiers comme les entités auxquelles les organisations ont confié les tâches suivantes: :
Exigences relatives aux fournisseurs de services tiers dans la norme PCI DSS v4.0
La norme PCI exige que les organisations gèrent leurs fournisseurs de services tiers (TPSP), notamment :
Il est important de noter que les TPSP sont responsables de la démonstration de leur conformité à la norme PCI DSS, comme le demandent les organisations. La norme indique qu'il y a deux (2) façons principales de valider la conformité, y compris :
Résultat : Les exigences sous-jacentes à la gestion des prestataires de services tiers comprennent l'évaluation et le contrôle continu des TPSP.
Bien que la norme PCI DSS n'ait pas d'autorité légale et que la conformité ne garantisse pas contre les violations de données, elle est obligatoire pour toute entreprise traitant des transactions par carte de crédit ou de débit.
Découvrir les principales exigences en matière de TPRM dans la norme PCI DSS
Une liste de contrôle pour la conformité : PCI DSS 4.0 et la gestion des fournisseurs de services tiers examine les exigences des fournisseurs de services dans PCI DSS v4.0 et propose des recommandations pour la conformité.
La liste ci-dessous résume les orientations de la norme PCI DSS relatives aux tiers et les meilleures pratiques pour répondre à ces exigences. Pour les besoins de ce blog (et compte tenu de l'étendue de la norme PCI), seule l'exigence 12.8 est examinée.
Veillez à consulter l'intégralité de la norme PCI DSS afin de déterminer comment chaque exigence s'applique à votre entreprise.
Les risques liés aux actifs informationnels associés aux relations avec les fournisseurs de services tiers sont gérés.
12.8.1 Une liste de tous les prestataires de services tiers (TPSP) avec lesquels les données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte est tenue à jour, y compris une description de chacun des services fournis.
Élaborer des profils complets de fournisseurs de services tiers qui comprennent des informations sur l'entreprise du fournisseur, sa situation géographique, les technologies tierces utilisées, ainsi que des informations opérationnelles et financières récentes. Commencez par importer les fournisseurs de services tiers dans un système de gestion central au moyen d'un modèle de feuille de calcul ou d'une connexion API à une solution existante de gestion des achats ou des fournisseurs, éliminant ainsi les processus manuels sujets aux erreurs. Ensuite, fournissez un simple formulaire d'admission à toutes les parties prenantes responsables de la gestion des tiers afin qu'elles puissent toutes contribuer à un profil centralisé des tiers. Tout le monde devrait pouvoir y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.
12.8.2 Les accords écrits avec les TPSP sont maintenus comme suit :
Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence.
12.8.3 Un processus établi est mis en œuvre pour l'engagement des TPSP, y compris une diligence raisonnable avant l'engagement.
Commencez par quantifier les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents en vue de la hiérarchisation des tiers sont les suivants :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.
12.8.4 Un programme est mis en œuvre pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.
Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers, y compris ceux qui sont spécifiquement conçus pour l'ICP. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.
Il est important d'inclure des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.
Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.
La plateforme de gestion des risques des tiersPrevalent peut aider les organisations à répondre aux exigences des fournisseurs de services tiers publiées dans la norme PCI :
Pour en savoir plus sur la façon dont Prevalent peut simplifier la gestion des fournisseurs de services tiers dans le cadre de la norme PCI DSS, demandez une démonstration dès aujourd'hui.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024