Répondre aux exigences de la norme PCI DSS relative aux fournisseurs de services tiers

Tous les fournisseurs de services tiers ayant accès aux données des titulaires de cartes - y compris les fournisseurs d'hébergement partagé - doivent adhérer à la norme PCI DSS. Voici un aperçu des domaines à évaluer maintenant que la version 4.0 est en vigueur.
Par :
Scott Lang
,
VP, Marketing produit
02 avril 2024
Partager :
Blog pci mars 2020

Développée à l'origine en 2004 et maintenant en version 4.0, la norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS) vise à renforcer la sécurité des données des titulaires de cartes et à faciliter l'adoption à grande échelle de mesures cohérentes de sécurité des données dans le monde entier. La norme s'applique à toutes les entités qui stockent, traitent ou transmettent les données des titulaires de cartes. Avec 12 exigences réparties sur six domaines, la norme est conçue pour garantir que les organisations disposent des contrôles et procédures appropriés pour sécuriser les données des titulaires de cartes.

En ce qui concerne la gestion des risques liés aux tiers, l'exigence 12 (Support Information Security with Organizational Policies and Programs), section 12.8 : Le risque pour les actifs informationnels associés aux relations avec les prestataires de services tiers (TPSP) est géré, indique que les prestataires de services tiers (TPSP) sont chargés de veiller à ce que les données soient protégées conformément aux exigences applicables de la norme PCI DSS et à ce qu'ils soient en conformité. La norme PCI définit les fournisseurs de services tiers comme les entités auxquelles les organisations ont confié les tâches suivantes: :

  • leurs opérations de paiement, ou ;
  • la gestion des systèmes (tels que les routeurs, les pare-feu, les bases de données, la sécurité physique et/ou les serveurs) qui participent à la transmission, à l'hébergement ou à la protection des données relatives aux titulaires de cartes.

Exigences relatives aux fournisseurs de services tiers dans la norme PCI DSS v4.0

La norme PCI exige que les organisations gèrent leurs fournisseurs de services tiers (TPSP), notamment :

  • Effectuer un contrôle préalable des contrôles et des pratiques des fournisseurs de services tiers en matière de sécurité des données
  • Mise en place d'accords appropriés avec les fournisseurs de services tiers afin d'appliquer les contrôles
  • Identifier les contrôles et les exigences en matière de sécurité des données des tiers qui s'appliquent
  • Contrôler la conformité des prestataires de services tiers au moins une fois par an

Il est important de noter que les TPSP sont responsables de la démonstration de leur conformité à la norme PCI DSS, comme le demandent les organisations. La norme indique qu'il y a deux (2) façons principales de valider la conformité, y compris :

  • Évaluations annuelles : Le TPSP fait l'objet d'une évaluation PCI DSS annuelle et fournit des preuves à ses clients pour démontrer que le TPSP répond aux exigences PCI DSS applicables.
  • Évaluations multiples, à la demande : Si un TPSP ne procède pas à une évaluation PCI DSS annuelle, il doit se soumettre à des évaluations à la demande de ses clients et/ou participer à chacune des évaluations PCI DSS de ses clients, les résultats de chaque examen étant communiqués au(x) client(s) concerné(s).

Résultat : Les exigences sous-jacentes à la gestion des prestataires de services tiers comprennent l'évaluation et le contrôle continu des TPSP.

Bien que la norme PCI DSS n'ait pas d'autorité légale et que la conformité ne garantisse pas contre les violations de données, elle est obligatoire pour toute entreprise traitant des transactions par carte de crédit ou de débit.

Découvrir les principales exigences en matière de TPRM dans la norme PCI DSS

Une liste de contrôle pour la conformité : PCI DSS 4.0 et la gestion des fournisseurs de services tiers examine les exigences des fournisseurs de services dans PCI DSS v4.0 et propose des recommandations pour la conformité.

Lire la suite
Ressources en vedette Liste de contrôle pci

Exigences PCI DSS

La liste ci-dessous résume les orientations de la norme PCI DSS relatives aux tiers et les meilleures pratiques pour répondre à ces exigences. Pour les besoins de ce blog (et compte tenu de l'étendue de la norme PCI), seule l'exigence 12.8 est examinée.

Veillez à consulter l'intégralité de la norme PCI DSS afin de déterminer comment chaque exigence s'applique à votre entreprise.

Exigence 12.8

Les risques liés aux actifs informationnels associés aux relations avec les fournisseurs de services tiers sont gérés.

12.8.1 Une liste de tous les prestataires de services tiers (TPSP) avec lesquels les données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte est tenue à jour, y compris une description de chacun des services fournis.

Élaborer des profils complets de fournisseurs de services tiers qui comprennent des informations sur l'entreprise du fournisseur, sa situation géographique, les technologies tierces utilisées, ainsi que des informations opérationnelles et financières récentes. Commencez par importer les fournisseurs de services tiers dans un système de gestion central au moyen d'un modèle de feuille de calcul ou d'une connexion API à une solution existante de gestion des achats ou des fournisseurs, éliminant ainsi les processus manuels sujets aux erreurs. Ensuite, fournissez un simple formulaire d'admission à toutes les parties prenantes responsables de la gestion des tiers afin qu'elles puissent toutes contribuer à un profil centralisé des tiers. Tout le monde devrait pouvoir y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

12.8.2 Les accords écrits avec les TPSP sont maintenus comme suit :

  • Des accords écrits sont conclus avec tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité du CDE.
  • Les accords écrits comprennent la reconnaissance par les TPSP qu'ils sont responsables de la sécurité des données de compte qu'ils possèdent ou qu'ils stockent, traitent ou transmettent pour le compte de l'entité, ou dans la mesure où ils pourraient avoir une incidence sur la sécurité du CDE de l'entité.

Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Utiliser le flux de travail (basé sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Automatiser les rappels et les avis de retard pour rationaliser l'examen des contrats
  • Centraliser les discussions sur les contrats et le suivi des commentaires
  • Stocker les contrats et les documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Permettre le suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents
  • Exploiter les autorisations basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence.

12.8.3 Un processus établi est mis en œuvre pour l'engagement des TPSP, y compris une diligence raisonnable avant l'engagement.

Commencez par quantifier les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents en vue de la hiérarchisation des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard de tierces parties
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

12.8.4 Un programme est mis en œuvre pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers, y compris ceux qui sont spécifiquement conçus pour l'ICP. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important d'inclure des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.

La différence Prevalent

La plateforme de gestion des risques des tiersPrevalent peut aider les organisations à répondre aux exigences des fournisseurs de services tiers publiées dans la norme PCI :

  • Fournir une plateforme centrale pour automatiser l'intégration, l'inventaire et la gestion de tous les fournisseurs de services tiers.
  • Établir un profil complet du fournisseur de services tiers pour toutes les parties prenantes internes, qui comprend une mise à jour continue de cyber, des informations sur les activités, les finances, la conformité et la réputation.
  • Centraliser la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers afin de garantir que les principales exigences en matière de sécurité sont incluses, convenues et appliquées à l'aide d'indicateurs de performance clés (KPI).
  • évaluer le risque inhérent afin d'établir le profil, l'échelonnement et la catégorisation des fournisseurs de services tiers et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
  • Automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des fournisseurs de services tiers.
  • Suivre et analyser en permanence les menaces externes qui pèsent sur les fournisseurs de services tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur le site cyber .
  • Simplification des rapports d'audit PCI grâce à la centralisation des évaluations, de la surveillance et de la gestion des preuves.

Pour en savoir plus sur la façon dont Prevalent peut simplifier la gestion des fournisseurs de services tiers dans le cadre de la norme PCI DSS, demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo