Annexe C : Fiche de contrôles compensatoires - PCI Security ...

[pic] Payment Card Industry (PCI)
Data Security Standard
Questionnaire d'auto-évaluation B
et attestation de conformité
Périphériques d'impression et terminaux autonomes par ligne directe
uniquement, aucun stockage électronique de données de titulaires de carte Version 2.0
Octobre 2010
Modifications apportées au document |Date |Version|Description |
|1er Octobre 20|1.2 |Harmonisation du contenu avec la nouvelle |
|08 | |procédure PCI DSS v1.2 et implémentation des |
| | |changements mineurs notés depuis la v1.1 |
| | |d'origine. |
|28 Octobre 201|2.0 |Harmonisation du contenu avec les conditions de |
|0 | |la nouvelle norme PCI DSS et des procédures de |
| | |test. |
| | | |
| | | |
Table des matières
Modifications apportées au document i
Norme de sécurité des données du PCI : documents connexes iii
Avant de commencer iv
Compléter le questionnaire d'auto-évaluation iv Étapes de mise en conformité avec la norme PCI DSS iv Directives de non-applicabilité de certaines conditions particulières iv Attestation de conformité, SAQ B 1
Questionnaire d'auto-évaluation B 6
Protection des données des titulaires de cartes de crédit 6
Condition 3 : Protéger les données de titulaires de cartes stockées 6
Condition 4 : Crypter la transmission des données des titulaires de
carte sur les réseaux publics ouverts 7 Mise en ?uvre de mesures de contrôle d'accès strictes 8
Condition 7 : Restreindre l'accès aux données des titulaires de carte
aux seuls individus qui doivent les connaître 8
Condition 9 : Restreindre l'accès physique aux données des titulaires de
cartes 8 Gestion d'une politique de sécurité des informations 10
Condition 12 : Gérer une politique de sécurité des informations pour
l'ensemble du personnel 10 Annexe A : (non utilisée) 12
Annexe B : Contrôles compensatoires 13
Annexe C : Fiche de contrôles compensatoires 15
Fiche de contrôles compensatoires - Exemple complété 16 Annexe D : Explication de non applicabilité 18 Norme de sécurité des données du PCI : documents connexes Les documents suivants ont été élaborés pour aider les commerçants et les
prestataires de services à comprendre la norme de sécurité des données du
secteur des cartes de paiement (PCI DSS) et le SAQ PCI DSS. |Document |Public visé |
|Norme de sécurité des données du PCI : |Tous les commerçants |
|Conditions et procédures d'évaluation de |et les prestataires de|
|sécurité |services |
|Navigation dans la norme PCI DSS : |Tous les commerçants |
|Comprendre l'objectif des conditions |et les prestataires de|
| |services |
|Norme de sécurité des données du PCI : |Tous les commerçants |
|Instructions et directives relatives à |et les prestataires de|
|l'auto-évaluation |services |
|Norme de sécurité des données du PCI : |Commerçants qualifiés1|
|Questionnaire d'auto-évaluation A et | |
|attestation | |
|Norme de sécurité des données du PCI : |Commerçants qualifiés1|
|Questionnaire d'auto-évaluation B et | |
|attestation | |
|Norme de sécurité des données du PCI : |Commerçants qualifiés1|
|Questionnaire d'auto-évaluation C-VT et | |
|attestation | |
|Norme de sécurité des données du PCI : |Commerçants qualifiés1|
|Questionnaire d'auto-évaluation C et | |
|attestation | |
|Norme de sécurité des données du PCI : |Commerçants qualifiés |
|Questionnaire d'auto-évaluation D et |et prestataires de |
|attestation |services[1] |
|Norme de sécurité des données du PCI et norme|Tous les commerçants |
|de sécurité des données d'application de |et les prestataires de|
|paiement : |services |
|Glossaire des termes, abréviations et | |
|acronymes | | Avant de commencer
Compléter le questionnaire d'auto-évaluation Le SAQ B a été élaboré pour répondre aux conditions applicables aux
commerçants qui traitent les données de titulaire de carte uniquement par
des périphériques d'impression ou des terminaux autonomes à liaison
directe. Les commerçants SAQ B sont définis ici et dans le document Instructions et
directives relatives au questionnaire d'auto-évaluation. Les commerçants
SAQ B traitent uniquement les données de titulaires de carte par des
périphériques d'impression ou des terminaux autonomes à liaison directe, et
peuvent être soit des commerçants artisans (carte présente), soit des
commerçants de vente par courrier/téléphone ou commerce électronique (carte
absente). Ces commerçants valident leur conformité en complétant un SAQ B
et l'attestation de conformité associée, confirmant que : . la société utilise uniquement un périphérique d'impression et/ou des
terminaux autonomes à liaison directe (connectés au processeur par une
ligne téléphonique) pour prendre les informations de carte de paiement
du client ; . les terminaux autonomes à liaison directe ne sont pas connectés à des
systèmes au sein de l'environnement ; . les terminaux autonomes à liaison directe ne sont pas connectés à
Internet ; . la société ne transmet pas de données de titulaires de carte sur un
réseau (ni sur un réseau interne, ni sur Internet) ; . la société conserve uniquement des reçus ou rapports papiers avec des
données de titulaires de carte, et ces documents ne sont pas reçus de
manière électronique ; et . la société ne stocke pas de données de titulaires de carte sous forme
électronique. Chaque rubrique du questionnaire se concentre sur un domaine particulier de
sécurité, en fonction des conditions du document Conditions et procédure
d'évaluation de sécurité de la norme PCI DSS. Cette version abrégée du SAQ
comprend des questions s'appliquant à un type particulier d'environnement
de petit commerçant, tel qu'il est défini dans les critères de
qualification ci-dessus. S'il existe des conditions PCI DSS applicables à
l'environnement qui ne sont pas couvertes par ce SAQ, cela peut être une
indication du fait que ce SAQ n'est pas adapté à cet environnement. En
outre, il faut se conformer à toutes les conditions PCI DSS applicables
afin d'être conforme à la norme PCI DSS. Étapes de mise en conformité avec la norme PCI DSS 1. Évaluer la conformité d'un environnement à la norme PCI DSS. 2. Compléter le questionnaire d'auto-évaluation (SAQ B) conformément aux
instructions du document Instructions et directives relatives au
questionnaire d'auto-évaluation. 3. Compléter l'attestation de conformité dans son intégralité. 4. Envoyer le questionnaire et l'attestation de conformité ainsi que tout
autre documentation requise par l'acquéreur.
Directives de non-applicabilité de certaines conditions particulières Non-applicabilité : les conditions jugées non applicables à un
environnement doivent être indiquées par la mention « s.o. » dans la
colonne « Spécial » du SAQ. En conséquence, compléter la fiche
« Explication de non applicabilité » dans l'annexe D pour chaque entrée
« s.o. ».
Attestation de conformité, SAQ B Instructions de transmission
Le commerçant doit remplir cette attestation de conformité, qui atteste du
respect par le commerçant des Conditions et procédures d'évaluation de
sécurité de la norme de sécurité des données du secteur des cartes de
paiement (PCI DSS). Remplir toutes les rubriques pertinentes et se reporter
aux instructions de transmission présentées sous le titre « Étapes de mise
en conformité avec la norme PCI DSS » dans ce document. |Partie 1. Informations sur l'évaluateur de sécurité qualifié et le |
|commerçant |
|Partie 1a. Informations sur le commerçant |
|Nom de la | |DBA : | |
|société : | | | |
|Nom du | |Poste | |
|contact : | |occupé| |
| | | : | |
|Téléphone : | |E-mail| |
| | | : | |
|Adresse | |Ville | |
|professionnell| |: | |
|e | | | |
|État/province | |Pays :| |Code | |
|: | | | |posta| |
| | | | |l : | |
|URL : | | |Partie 1b