Dernier rapport d'analyste : Le guide de marché 2023 de Gartner® pour les solutions de gestion des risques fournisseurs

Conformité Hero pci

Conformité PCI DSS

La norme PCI DSS et la gestion des fournisseurs de services tiers

La norme PCI DSS a été développée pour renforcer la sécurité des données des titulaires de cartes et pour faciliter l'adoption à grande échelle de mesures de sécurité des données cohérentes au niveau mondial. La norme s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes. Avec 12 exigences dans six domaines, la norme vise à garantir que les organisations disposent des contrôles et procédures appropriés pour sécuriser les données des titulaires de cartes.

En ce qui concerne la gestion des risques liés aux tiers, l'exigence 12 (Support Information Security with Organizational Policies and Programs), section 12.8 : Les risques liés aux actifs informationnels associés aux relations avec les fournisseurs de services tiers sont gérés, indique que les fournisseurs de services tiers sont chargés de veiller à ce que les données soient protégées conformément aux exigences applicables de la norme PCI DSS et à ce qu'ils soient en conformité.

Les tiers doivent prouver qu'ils respectent les exigences de la norme PCI DSS, et c'est là qu'une évaluation des contrôles internes et une surveillance continue sont essentielles - pour déterminer l'efficacité des contrôles internes de sécurité des données et remédier aux problèmes avant qu'une violation des données d'un tiers n'ait un impact négatif sur l'entreprise.

Tous les fournisseurs de services ayant accès aux données des titulaires de cartes - y compris les fournisseurs d'hébergement partagé - doivent adhérer à la norme PCI DSS ; les fournisseurs d'hébergement partagé doivent protéger l'environnement et les données hébergées de chaque entité. Cette page se concentre spécifiquement sur les exigences des fournisseurs d'hébergement.

Conditions applicables

  • Faire preuve de diligence raisonnable en ce qui concerne les contrôles et les pratiques des fournisseurs de services tiers en matière de sécurité des données

  • Identifier les contrôles et les exigences en matière de sécurité des données des tiers qui s'appliquent

  • Disposer d'accords appropriés avec les fournisseurs de services tiers pour mettre en œuvre les contrôles

  • Contrôler la conformité des prestataires de services tiers au moins une fois par an

Découvrir les principales exigences en matière de TPRM dans la norme PCI DSS

Une liste de contrôle pour la conformité : PCI DSS 4.0 et la gestion des fournisseurs de services tiers examine les exigences des fournisseurs de services dans PCI DSS v4.0 et propose des recommandations pour la conformité.

Lire la suite
Ressources en vedette Liste de contrôle pci

Respecter les directives PCI DSS

Le tableau récapitulatif ci-dessous met en correspondance les capacités des meilleures pratiques de l'industrie disponibles dans la plateforme de gestion des risques des tiersPrevalent avec les exigences des fournisseurs de services tiers sélectionnées dans la norme PCI DSS v4.0.

REMARQUE : ce tableau ne doit pas être considéré comme un guide définitif. Pour obtenir une liste complète des exigences, veuillez consulter la norme de sécurité des données PCI v4.0 dans son intégralité et consulter votre auditeur.

PCI DSS v4.0 Fournisseur de services tiers Exigences et procédures de test Comment Prevalent peut vous aider

Exigence 6 : développer et maintenir des systèmes et des logiciels sécurisés

6.3 Les failles de sécurité sont identifiées et traitées.

6.3.2 Un inventaire des logiciels sur mesure et personnalisés, ainsi que des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés, est tenu à jour pour faciliter la gestion des vulnérabilités et des correctifs.

6.3.2.a Examiner la documentation et interroger le personnel pour vérifier qu'un inventaire des logiciels sur mesure et personnalisés et des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés est tenu à jour, et que l'inventaire est utilisé pour identifier et traiter les vulnérabilités.

6.3.2.b. Examiner la documentation du logiciel, y compris pour les logiciels sur mesure et personnalisés qui intègrent des composants logiciels tiers, et la comparer à l'inventaire pour vérifier que l'inventaire inclut les logiciels sur mesure et personnalisés et les composants logiciels tiers.

Avec la plateforme Prevalent , vous pouvez exiger des fournisseurs qu'ils fournissent des nomenclatures logicielles (SBOM) à jour pour leurs produits logiciels et les joindre en tant que preuves ou documents importants associés au fournisseur. Cela vous aidera à centraliser la gestion des artefacts importants et à identifier toutes les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

Exigence 12 : Soutenir la sécurité de l'information par des politiques et des programmes organisationnels

12.8 Les risques pour les actifs informationnels associés aux relations avec les prestataires de services tiers sont gérés.

12.8.1 Une liste de tous les prestataires de services tiers (TPSP) avec lesquels les données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte est maintenue, y compris une description de chacun des services fournis.

12.8.1.a Examiner les politiques et les procédures afin de vérifier que des processus sont définis pour tenir à jour une liste des TPSP, comprenant une description de chacun des services fournis, pour tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte.

12.8.1.b Examiner la documentation pour vérifier qu'une liste de tous les TPSP est tenue à jour et qu'elle comprend une description objective des services fournis dans le cadre de l'approche personnalisée.

Grâce à la plateforme Prevalent , vous pouvez importer des fournisseurs de services tiers dans un système de gestion central via un modèle de feuille de calcul ou une connexion API à une solution existante de gestion des achats ou des fournisseurs, éliminant ainsi les processus manuels sujets aux erreurs.

La plateforme fournit un formulaire simple à tous les acteurs responsables de la gestion des tiers, afin que tous puissent contribuer au profil centralisé des tiers. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

La plateforme Prevalent permet d'établir des profils complets de fournisseurs de services tiers, comprenant des informations sur l'entreprise du fournisseur, sa situation géographique, les technologies tierces qu'il utilise et des informations opérationnelles et financières récentes. L'accumulation de ces données vous permettra de rendre compte du risque de concentration technologique et de prendre des mesures à cet égard.

12.8.2 Les accords écrits avec les TPSP sont maintenus comme suit :

  • Des accords écrits sont conclus avec tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité du CDE.

  • Les accords écrits comprennent la reconnaissance par les TPSP qu'ils sont responsables de la sécurité des données de compte qu'ils possèdent ou qu'ils stockent, traitent ou transmettent pour le compte de l'entité, ou dans la mesure où ils pourraient avoir une incidence sur la sécurité du CDE de l'entité.

12.8.2.a Examiner les politiques et les procédures pour vérifier que des processus sont définis pour maintenir des accords écrits avec tous les TPSP conformément à tous les éléments spécifiés dans cette exigence.

12.8.2.b Examiner les accords écrits avec les TPSP pour vérifier qu'ils sont maintenus conformément à tous les éléments spécifiés dans cette exigence.

Avec Prevalent, vous pouvez centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

12.8.3 Un processus établi est mis en œuvre pour l'engagement des TPSP, y compris une diligence raisonnable avant l'engagement.

12.8.3.a Examiner les politiques et les procédures afin de vérifier que des processus sont définis pour l'engagement de prestataires de services de transfert de technologie, y compris une diligence raisonnable avant l'engagement.

12.8.3.b. Examiner les éléments de preuve et interroger le personnel responsable pour vérifier que le processus d'engagement des prestataires de services de transfert de technologie comprend une diligence raisonnable avant l'engagement.

Commencez par quantifier les risques inhérents à tous les tiers à l'aide du site Prevalent. Les critères utilisés pour calculer le risque inhérent en vue de la hiérarchisation des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard de tierces parties
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

12.8.4 Un programme est mis en œuvre pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

12.8.4.a Examiner les politiques et les procédures pour vérifier que des processus sont définis pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

12.8.4.b Examiner la documentation et interroger le personnel responsable pour vérifier que le statut de conformité PCI DSS de chaque TPSP est contrôlé au moins une fois tous les 12 mois.

La plateforme Prevalent TPRM comprend une vaste bibliothèque de modèles préétablis pour les évaluations des risques des tiers, y compris ceux qui sont spécifiquement conçus pour le PCI. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.
Il est important de noter que Prevalent comprend des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, la plateforme Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La plateforme surveille l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo