PCI Empreintes: 7 façons de simplifier la conformité, de réduire les risques et d’économiser de l’argent

novembre 22 2016
Même si vous avez peut-être entendu parler d’empreintes carbone et d’empreintes écologiques, vous ne savez peut-être pas qu’il existe une empreinte de conformité PCI qui pourrait vous affecter. Autrement dit, une empreinte de conformité fournit une mesure de l’incidence des obligations de conformité sur votre entreprise.

Qui devrait s’inquiéter de leur empreinte de conformité PCI?

Si votre organisation fonctionne dans l’espace des cartes de paiement, que vous acceptiez des paiements en tant que commerçant, effectuiez des paiements, émettiez des cartes ou fournissiez des services à de telles organisations, alors vous avez des obligations de conformité. Comprendre votre empreinte de conformité va bien au-delà de la compréhension de ces obligations. Il vous offre un moyen de mesurer

  • Quelle part de votre entreprise est directement et indirectement assujettie aux exigences de conformité
  • Le coût et l’effort de maintien de la conformité
  • Le coût et l’effort requis pour valider la conformité
  • Le coût et l’effort de la remise en état de tout système et processus hors conformité qui sont soit directement ou indirectement soumis à la conformité
  • Risque potentiellement inutile que votre organisation porte sur le traitement des données de votre carte
  • Possibilités d’efficience et simplification de la conformité

L’idée de base n’est pas nouvelle, elle a été diversement au cœur de la «réduction de la portée» (trompeuse et abusive), de l’applicabilité des exigences (vague et vague) et de la «simplification de la conformité» (meilleure mais encore vague). En fin de compte, la motivation est de réduire les risques et les dépenses et de veiller à ce que la conformité soit à la fois défendable et durable.

Comprendre comment cela fonctionne

La détermination de la portée est le processus clé pour comprendre comment tous les processus et technologies utilisent et interagissent avec les données de la carte. Pensez à toute la société étant initialement dans la portée et en passant par une série d’exercices pour valider l’exclusion des systèmes et des processus. Ce processus de validation hors périmètre aide à définir une portée défendable.

Un gotcha critique pour de nombreuses organisations est la règle « connecté à » qui peut entraîner des entreprises entières dans la portée PCI. Considérez une entreprise avec une seule infrastructure non segmentée. Disons qu’il ya 1000 ordinateurs, téléphones et périphériques sur ce grand réseau plat. Disons également qu’il ya 20 dispositifs qui sont directement impliqués avec des données de carte de paiement. La direction peut s’attendre à ce que la portée soit proche de ces 20 appareils. Sous les règles de définition de la portée PCI, tous les 1000 périphériques sont soumis à PCI DSS. C’est un 98% indirect et seulement une obligation directe de 2%. En outre, avec plus de 250 instructions de déclaration individuelles dans un audit PCI sur place qui comprend un pourcentage important qui doit être mesuré sur l’inventaire complet de la technologie et des processus, l’effort de préparer, d’exploiter, de maintenir et de valider un tel environnement augmente rapidement. C’est une énorme empreinte de conformité!

Façons de réduire votre empreinte

Il devrait être clair que l’examen d’une vérification annuelle qui doit couvrir près de 250 000 points au lieu de 5 000 est totalement insoutenable. Maintenant, en réalité, il existe des techniques communes appliquées pour réduire cela. Les solutions de surveillance de la conformité facilitent la mesure de la conformité des grandes empreintes car elles peuvent rassembler de vastes tableaux de données et fournir des tableaux de bord utiles ainsi que d’autres avantages. Les techniques d’audit comme l’échantillonnage peuvent également réduire le nombre de points de données. Cependant, ceux-ci aller seulement jusqu’à présent et à la fin de la journée, l’empreinte est encore énorme. Toute organisation à la recherche d’un gain plus important doit attaquer son empreinte de conformité grâce à un mélange de refonte des processus métiers et de changements technologiques.

Voici quelques façons de réduire votre empreinte de conformité.

  1. Segmentation et isolement est une nécessité pratique pour les organisations avec de grandes empreintes de conformité. Dans l’exemple ci-dessus, l’ajout d’une segmentation forte et de quelques modifications apportées aux processus utilisateur et support peut réduire considérablement l’empreinte. C’est vraiment la réduction de la portée.
  2. Purge des données inutiles est une autre excellente technique. Si une organisation peut éliminer le stockage des données de carte, de nombreuses exigences PCI DSS ne s’appliqueront plus. Tout stockage, même transitoire, doit être éliminé. Cela simplifie la conformité.
  3. Les techniques de dévaluation telles que la tokenisation et la troncation sont des techniques qui peuvent être utilisées là où une purge complète n’est pas possible.
  4. Les environnements spécialisés et les cas d’utilisation de la technologie peuvent créer des architectures PCI efficaces, car toutes les exigences PCI ne s’appliquent pas à tous les composants. Les questionnaires d’autoévaluation du PCI DSS fournissent des exemples de cas d’utilisation acceptés tels que le commerce électronique, les terminaux matériels et les solutions P2PE avec des tests d’admissibilité stricts qui simplifient la conformité.
  5. L’externalisation permet à une organisation d’externaliser leur empreinte ou une partie de celle-ci. La société sera toujours responsable de la conformité des organisations qu’ils sous-traitent, mais leur empreinte peut être réduite à certaines exigences spécifiques de gouvernance et de diligence raisonnable.
  6. Le chiffrement peut également être utilisé pour simplifier la conformité mais il ya quelques réserves. Les solutions P2PE validées peuvent garder les systèmes «connectés» hors de portée. D’autres solutions de chiffrement avec une validation appropriée peuvent également aider à simplifier la conformité.
  7. L’utilisation de compilations de systèmes normalisées et la mise à jour des composants du système pour simplifier l’inventaire peuvent simplifier les exigences d’échantillonnage. PCI requiert un échantillonnage représentatif de l’environnement de données des titulaires de carte. De plus, en ce qui concerne les problèmes d’efficacité opérationnelle, un grand nombre de versions diverses et de versions opérationnelles des systèmes peuvent augmenter les niveaux d’échantillonnage et les efforts.

Les techniques ci-dessus peuvent aider les organisations à réduire leur empreinte de conformité, à économiser de l’argent et à réduire les risques.

Apprendre Encore Plus

Data is a Toxic Asset

 

See the FAQ Search page for more like these.

_______________________________________________________________
Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd’hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.

e-newsletter

Want important PCI information delivered to you? Sign-up to our e-newsletter and be the first one to know about industry news and trend, offers and promotions.

×

Contact

×

PCI Pilot™ sera disponible bientôt!

Notre très attendu outil en ligne sera lancé très bientôt pour accélérer et simplifier le processus de réponse au SAQ.

Inscrivez-vous dès aujourd’hui et soyez parmi les premiers à être informés lorsque PCI Pilot™ sera en ligne!