Conformité PCI DSS

Exigence 6 : développer et maintenir des systèmes et des logiciels sécurisés

6.3 Les failles de sécurité sont identifiées et traitées.

6.3.2 Un inventaire des logiciels sur mesure et personnalisés, ainsi que des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés, est tenu à jour pour faciliter la gestion des vulnérabilités et des correctifs.

6.3.2.a Examiner la documentation et interroger le personnel pour vérifier qu'un inventaire des logiciels sur mesure et personnalisés et des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés est tenu à jour, et que l'inventaire est utilisé pour identifier et traiter les vulnérabilités.

6.3.2.b. Examiner la documentation du logiciel, y compris pour les logiciels sur mesure et personnalisés qui intègrent des composants logiciels tiers, et la comparer à l'inventaire pour vérifier que l'inventaire inclut les logiciels sur mesure et personnalisés et les composants logiciels tiers.

Avec la plateforme Prevalent , vous pouvez exiger des fournisseurs qu'ils fournissent des nomenclatures logicielles (SBOM) à jour pour leurs produits logiciels et les joindre en tant que preuves ou documents importants associés au fournisseur. Cela vous aidera à centraliser la gestion des artefacts importants et à identifier toutes les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

Exigence 12 : Soutenir la sécurité de l'information par des politiques et des programmes organisationnels

12.8 Les risques pour les actifs informationnels associés aux relations avec les prestataires de services tiers sont gérés.

12.8.1 Une liste de tous les prestataires de services tiers (TPSP) avec lesquels les données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte est maintenue, y compris une description de chacun des services fournis.

12.8.1.a Examiner les politiques et les procédures afin de vérifier que des processus sont définis pour tenir à jour une liste des TPSP, comprenant une description de chacun des services fournis, pour tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte.

12.8.1.b Examiner la documentation pour vérifier qu'une liste de tous les TPSP est tenue à jour et qu'elle comprend une description objective des services fournis dans le cadre de l'approche personnalisée.

Grâce à la plateforme Prevalent , vous pouvez importer des fournisseurs de services tiers dans un système de gestion central via un modèle de feuille de calcul ou une connexion API à une solution existante de gestion des achats ou des fournisseurs, éliminant ainsi les processus manuels sujets aux erreurs.

La plateforme fournit un formulaire simple à tous les acteurs responsables de la gestion des tiers, afin que tous puissent contribuer au profil centralisé des tiers. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

La plateforme Prevalent permet d'établir des profils complets de fournisseurs de services tiers, comprenant des informations sur l'entreprise du fournisseur, sa situation géographique, les technologies tierces qu'il utilise et des informations opérationnelles et financières récentes. L'accumulation de ces données vous permettra de rendre compte du risque de concentration technologique et de prendre des mesures à cet égard.

12.8.2 Les accords écrits avec les TPSP sont maintenus comme suit :

• Des accords écrits sont conclus avec tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité du CDE.

• Les accords écrits comprennent la reconnaissance par les TPSP qu'ils sont responsables de la sécurité des données de compte qu'ils possèdent ou qu'ils stockent, traitent ou transmettent pour le compte de l'entité, ou dans la mesure où ils pourraient avoir une incidence sur la sécurité du CDE de l'entité.

12.8.2.a Examiner les politiques et les procédures pour vérifier que des processus sont définis pour maintenir des accords écrits avec tous les TPSP conformément à tous les éléments spécifiés dans cette exigence.

12.8.2.b Examiner les accords écrits avec les TPSP pour vérifier qu'ils sont maintenus conformément à tous les éléments spécifiés dans cette exigence.

Avec Prevalent, vous pouvez centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

Les capacités clés comprennent :

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

12.8.3 Un processus établi est mis en œuvre pour l'engagement des TPSP, y compris une diligence raisonnable avant l'engagement.

12.8.3.a Examiner les politiques et les procédures afin de vérifier que des processus sont définis pour l'engagement de prestataires de services de transfert de technologie, y compris une diligence raisonnable avant l'engagement.

12.8.3.b. Examiner les éléments de preuve et interroger le personnel responsable pour vérifier que le processus d'engagement des prestataires de services de transfert de technologie comprend une diligence raisonnable avant l'engagement.

Commencez par quantifier les risques inhérents à tous les tiers à l'aide du site Prevalent. Les critères utilisés pour calculer le risque inhérent en vue de la hiérarchisation des tiers sont les suivants :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard de tierces parties
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

12.8.4 Un programme est mis en œuvre pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

12.8.4.a Examiner les politiques et les procédures pour vérifier que des processus sont définis pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

12.8.4.b Examiner la documentation et interroger le personnel responsable pour vérifier que le statut de conformité PCI DSS de chaque TPSP est contrôlé au moins une fois tous les 12 mois.

La plateforme Prevalent TPRM comprend une vaste bibliothèque de modèles préétablis pour les évaluations des risques des tiers, y compris ceux qui sont spécifiquement conçus pour le PCI. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.
Il est important de noter que Prevalent comprend des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, la plateforme Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La plateforme surveille l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.