Répondre aux exigences de la norme PCI DSS relative aux fournisseurs de services tiers

Exigences PCI DSS

La liste ci-dessous résume les orientations de la norme PCI DSS relatives aux tiers et les meilleures pratiques pour répondre à ces exigences. Pour les besoins de ce blog (et compte tenu de l'étendue de la norme PCI), seule l'exigence 12.8 est examinée.

Veillez à consulter l'intégralité de la norme PCI DSS afin de déterminer comment chaque exigence s'applique à votre entreprise.

Exigence 12.8

Les risques liés aux actifs informationnels associés aux relations avec les fournisseurs de services tiers sont gérés.

12.8.1 Une liste de tous les prestataires de services tiers (TPSP) avec lesquels les données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte est tenue à jour, y compris une description de chacun des services fournis.

Élaborer des profils complets de fournisseurs de services tiers qui comprennent des informations sur l'entreprise du fournisseur, sa situation géographique, les technologies tierces utilisées, ainsi que des informations opérationnelles et financières récentes. Commencez par importer les fournisseurs de services tiers dans un système de gestion central au moyen d'un modèle de feuille de calcul ou d'une connexion API à une solution existante de gestion des achats ou des fournisseurs, éliminant ainsi les processus manuels sujets aux erreurs. Ensuite, fournissez un simple formulaire d'admission à toutes les parties prenantes responsables de la gestion des tiers afin qu'elles puissent toutes contribuer à un profil centralisé des tiers. Tout le monde devrait pouvoir y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

12.8.2 Les accords écrits avec les TPSP sont maintenus comme suit :

• Des accords écrits sont conclus avec tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité du CDE.
• Les accords écrits comprennent la reconnaissance par les TPSP qu'ils sont responsables de la sécurité des données de compte qu'ils possèdent ou qu'ils stockent, traitent ou transmettent pour le compte de l'entité, ou dans la mesure où ils pourraient avoir une incidence sur la sécurité du CDE de l'entité.

Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
• Utiliser le flux de travail (basé sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Automatiser les rappels et les avis de retard pour rationaliser l'examen des contrats
• Centraliser les discussions sur les contrats et le suivi des commentaires
• Stocker les contrats et les documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
• Permettre le suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents
• Exploiter les autorisations basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence.

12.8.3 Un processus établi est mis en œuvre pour l'engagement des TPSP, y compris une diligence raisonnable avant l'engagement.

Commencez par quantifier les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents en vue de la hiérarchisation des tiers sont les suivants :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard de tierces parties
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

12.8.4 Un programme est mis en œuvre pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers, y compris ceux qui sont spécifiquement conçus pour l'ICP. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important d'inclure des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.

La différence Prevalent

La plateforme de gestion des risques des tiersPrevalent peut aider les organisations à répondre aux exigences des fournisseurs de services tiers publiées dans la norme PCI :

• Fournir une plateforme centrale pour automatiser l'intégration, l'inventaire et la gestion de tous les fournisseurs de services tiers.
• Établir un profil complet du fournisseur de services tiers pour toutes les parties prenantes internes, qui comprend une mise à jour continue de cyber, des informations sur les activités, les finances, la conformité et la réputation.
• Centraliser la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers afin de garantir que les principales exigences en matière de sécurité sont incluses, convenues et appliquées à l'aide d'indicateurs de performance clés (KPI).
• évaluer le risque inhérent afin d'établir le profil, l'échelonnement et la catégorisation des fournisseurs de services tiers et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
• Automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des fournisseurs de services tiers.
• Suivre et analyser en permanence les menaces externes qui pèsent sur les fournisseurs de services tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur le site cyber .
• Simplification des rapports d'audit PCI grâce à la centralisation des évaluations, de la surveillance et de la gestion des preuves.

Pour en savoir plus sur la façon dont Prevalent peut simplifier la gestion des fournisseurs de services tiers dans le cadre de la norme PCI DSS, demandez une démonstration dès aujourd'hui.