En tant que commerçant acceptant des paiements par carte de crédit, vous êtes sans doute conscient de la nécessité de certifier chaque année votre conformité à la réglementation PCI. Si vous traitez plus de 6 millions de transactions avec un seul émetteur de cartes, cette évaluation de conformité doit être dirigée par un QSA, ou Qualified Security Assessor, un tiers indépendant.
Le processus d’évaluation dirigé par un QSA est souvent long (et dans certains cas, stressant : attention au burnout !), mais une grande partie du stress peut être atténuée en travaillant avec le bon QSA. Trop souvent, les entreprises font appel à un cabinet d’assurance qualité qui propose l’enquête la plus rapide et/ou la moins chère, et le résultat est une expérience médiocre. Bien que les coûts soient toujours une préoccupation, lorsqu’il s’agit de déterminer votre conformité, il y a plus à considérer que le coût du processus. Voici cinq questions importantes que vous ne pouvez tout simplement pas vous permettre de négliger lorsque vous choisissez un QSA
1. Quelles sont vos qualifications ?
Tous les QSA doivent avoir au moins une certaine expérience en informatique ou en sécurité informatique, et doivent passer un examen difficile pour être certifiés en tant que QSA. Cependant, cela ne signifie pas que tous les QSA sont créés égaux. Il est préférable d’engager un QSA qui a une formation et une expérience, ou du moins une connaissance approfondie, de votre secteur d’activité et des défis qu’il doit relever. Par exemple, les entreprises du secteur de la santé sont différentes des entreprises du secteur du commerce de détail, qui sont différentes des services financiers, et une évaluation de la conformité doit tenir compte de ces facteurs. En outre, les évaluateurs peuvent tirer parti de leur expérience pour accélérer le processus d’évaluation et appliquer des conseils plus pertinents à votre entreprise.
En outre, il est généralement sage de choisir une entreprise qui a de l’expérience à la fois dans le conseil en sécurité de l’information et dans la mise en œuvre. Ces entreprises peuvent fournir une évaluation plus approfondie qui va au-delà d’une liste de contrôle, tout en guidant votre entreprise sur la façon de corriger les zones problématiques et de devenir plus sûre dans l’ensemble.
2. Votre entreprise a-t-elle déjà été en remédiation ?
Si une entreprise QSA ne se conforme pas aux procédures de reporting PCI DSS, alors elle est susceptible d’aller en remédiation, et doit accomplir des étapes pour corriger les déficiences identifiées. Lorsque vous évaluez les contractants potentiels pour votre audit de conformité, demandez aux candidats s’ils ont déjà été en remédiation, et si oui, pourquoi et comment les problèmes ont été corrigés. Vous pouvez également trouver des informations sur la remédiation sur le site Web du PCI Security Standards Council. Toutefois, le site Web ne répertorie que les entreprises qui sont actuellement en cours de remédiation, et non celles qui ont terminé avec succès une remédiation. Gardez à l’esprit que le fait qu’une entreprise ait été citée par le PCI Security Council ne signifie pas qu’elle n’est pas tout à fait capable ou qu’elle ne convient pas à votre entreprise. Les violations peuvent survenir pour un grand nombre de raisons, et les entreprises font généralement tout leur possible pour corriger les problèmes.
3. Des entreprises ont-elles déjà amélioré leur sécurité à la suite de votre évaluation ?
Une évaluation QSA ne consiste pas seulement à satisfaire le Conseil de sécurité PCI et à rayer une tâche de votre liste de choses à faire. Lorsqu’elle est bien faite, elle donne un aperçu de la sécurité globale de votre entreprise, et des domaines dans lesquels vous pouvez vous améliorer. Lors de l’examen des entreprises potentielles, posez des questions sur leur expérience antérieure et demandez des exemples d’entreprises qui ont amélioré leur position de sécurité en conséquence directe de votre évaluation et de vos recommandations. PCI DSS n’est qu’une base de référence pour les mesures de sécurité – vous voulez travailler avec une entreprise qui peut vous aider à dépasser ces exigences.
4. Qui effectuera le travail?
Trop souvent, les QSA que les entreprises rencontrent pendant la phase de collecte et d’analyse des données de l’évaluation ne sont pas les mêmes personnes qui effectuent la visite sur site pour évaluer la mise en œuvre des contrôles de sécurité. Cela peut être problématique car les évaluateurs sur place peuvent ne pas comprendre toutes les nuances de l’entreprise et de ce qui est en place, ce qui se reflète dans le rapport final. Avant d’embaucher un QSA, demandez à savoir qui s’occupera du travail, et à obtenir une ventilation de toutes les responsabilités et qui s’en chargera, ainsi que la façon dont le cabinet évite les problèmes de communication et les déconnexions entre plusieurs évaluateurs.
5. Êtes-vous indépendant ?
Enfin, il est important d’être conscient de tout lien qu’un QSA peut avoir avec des entreprises ou des produits spécifiques. Certains cabinets de QSA sont associés à des produits de sécurité, par exemple, et peuvent utiliser l’évaluation comme une occasion de vendre un nouveau système de sécurité. Soyez au courant de tels arrangements avant de vous engager avec un partenaire.
Choisir le bon QSA peut faire la différence entre un processus fluide et bénéfique, et un processus qui est un véritable casse-tête. Posez les bonnes questions, obtenez toutes les informations, et faites un choix éclairé.
