Conformité PCI DSS

Contacter un expert

Retour à tous les cas d'utilisation

Conformité PCI DSS

La norme PCI DSS a été élaborée pour renforcer la sécurité des données des titulaires de cartes et pour faciliter l'adoption généralisée de mesures cohérentes de sécurité des données à l'échelle mondiale. La norme s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes. Avec 12 exigences réparties sur six domaines, la norme vise à garantir que les organisations disposent des contrôles et procédures appropriés pour sécuriser les données des titulaires de cartes.

En ce qui concerne la gestion des risques liés aux tiers, l'exigence 12 (Support Information Security with Organizational Policies and Programs), section 12.8 : Les risques liés aux actifs informationnels associés aux relations avec les fournisseurs de services tiers sont gérés, indique que les fournisseurs de services tiers sont chargés de veiller à ce que les données soient protégées conformément aux exigences applicables de la norme PCI DSS et à ce qu'ils soient en conformité.

Les tiers doivent prouver qu'ils respectent les exigences de la norme PCI DSS, et c'est là qu'une évaluation des contrôles internes et une surveillance continue sont essentielles - pour déterminer l'efficacité des contrôles internes de sécurité des données et remédier aux problèmes avant qu'une violation des données d'un tiers n'ait un impact négatif sur l'entreprise.

Tous les fournisseurs de services ayant accès aux données des titulaires de cartes - y compris les fournisseurs d'hébergement partagé - doivent adhérer à la norme PCI DSS ; les fournisseurs d'hébergement partagé doivent protéger l'environnement et les données hébergées de chaque entité. Cette page se concentre spécifiquement sur les exigences des fournisseurs d'hébergement.

Exigences pertinentes

  • Faire preuve de diligence raisonnable en ce qui concerne les contrôles et les pratiques des fournisseurs de services tiers en matière de sécurité des données

  • Disposer d'accords appropriés avec les fournisseurs de services tiers pour mettre en œuvre les contrôles

  • Identifier les contrôles et les exigences en matière de sécurité des données des tiers qui s'appliquent
  • Contrôler la conformité des prestataires de services tiers au moins une fois par an

Respecter les directives PCI DSS

Le tableau récapitulatif ci-dessous met en correspondance les capacités des meilleures pratiques de l'industrie disponibles dans la plate-forme Prevalent de gestion des risques liés aux tiers avec certaines exigences relatives aux fournisseurs de services tiers figurant dans la norme PCI DSS v4.0.

REMARQUE : ce tableau ne doit pas être considéré comme un guide définitif. Pour obtenir une liste complète des exigences, veuillez consulter la norme de sécurité des données PCI v4.0 dans son intégralité et consulter votre auditeur.

PCI DSS v4.0 - Exigences relatives aux fournisseurs de services tiers et procédures de test

La prévalence de l'aide

Exigence 6 : développer et maintenir des systèmes et des logiciels sûrs

6.3 Les failles de sécurité sont identifiées et traitées.

6.3.2 Un inventaire des logiciels sur mesure et personnalisés, ainsi que des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés, est tenu à jour pour faciliter la gestion des vulnérabilités et des correctifs.

6.3.2.a Examiner la documentation et interroger le personnel pour vérifier qu'un inventaire des logiciels sur mesure et personnalisés et des composants logiciels tiers incorporés dans les logiciels sur mesure et personnalisés est tenu à jour, et que l'inventaire est utilisé pour identifier et traiter les vulnérabilités.

6.3.2.b. Examiner la documentation du logiciel, y compris pour les logiciels sur mesure et personnalisés qui intègrent des composants logiciels tiers, et la comparer à l'inventaire pour vérifier que l'inventaire inclut les logiciels sur mesure et personnalisés et les composants logiciels tiers.

Avec la plateforme Prevalent, vous pouvez exiger des fournisseurs qu'ils mettent à jour les nomenclatures de leurs produits logiciels et les joindre en tant que preuves ou documents importants associés au fournisseur. Cela vous aidera à centraliser la gestion des artefacts importants et à identifier toutes les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

Exigence 12 : Soutenir la sécurité de l'information par des politiques et des programmes organisationnels

12.8 Les risques liés aux actifs informationnels associés aux relations avec les fournisseurs de services tiers sont gérés.

12.8.1 Une liste de tous les prestataires de services tiers (TPSP) avec lesquels les données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte est maintenue, y compris une description de chacun des services fournis.

12.8.1.a Examiner les politiques et les procédures afin de vérifier que des processus sont définis pour tenir à jour une liste des TPSP, comprenant une description de chacun des services fournis, pour tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité des données de compte.

12.8.1.b Examiner la documentation pour vérifier qu'une liste de tous les TPSP est tenue à jour et qu'elle comprend une description objective des services fournis dans le cadre de l'approche personnalisée.

Grâce à la plateforme Prevalent, vous pouvez importer des fournisseurs de services tiers dans un système de gestion central via un modèle de feuille de calcul ou une connexion API à une solution existante de gestion des achats ou des fournisseurs, éliminant ainsi les processus manuels sujets aux erreurs.

La plateforme fournit un formulaire simple à tous les acteurs responsables de la gestion des tiers, afin que tous puissent contribuer au profil centralisé des tiers. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

La plateforme Prevalent permet d'établir des profils complets de fournisseurs de services tiers comprenant des informations sur les entreprises, la situation géographique, les technologies utilisées et des informations opérationnelles et financières récentes. L'accumulation de ces données vous permettra de rendre compte du risque de concentration technologique et de prendre des mesures à cet égard.

12.8.2 Les accords écrits avec les TPSP sont maintenus comme suit :

  • Des accords écrits sont conclus avec tous les TPSP avec lesquels des données de compte sont partagées ou qui pourraient affecter la sécurité du CDE.
  • Les accords écrits comprennent la reconnaissance par les TPSP qu'ils sont responsables de la sécurité des données de compte qu'ils possèdent ou qu'ils stockent, traitent ou transmettent pour le compte de l'entité, ou dans la mesure où ils pourraient avoir une incidence sur la sécurité du CDE de l'entité.

12.8.2.a Examiner les politiques et les procédures pour vérifier que des processus sont définis pour maintenir des accords écrits avec tous les TPSP conformément à tous les éléments spécifiés dans cette exigence.

12.8.2.b Examiner les accords écrits avec les TPSP pour vérifier qu'ils sont maintenus conformément à tous les éléments spécifiés dans cette exigence.

Avec Prevalent, vous pouvez centraliser la distribution, la discussion, la conservation et la révision des contrats fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

Les principales capacités sont les suivantes

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

12.8.3 Un processus établi est mis en œuvre pour l'engagement des TPSP, y compris une diligence raisonnable avant l'engagement.

12.8.3.a Examiner les politiques et les procédures afin de vérifier que des processus sont définis pour l'engagement de prestataires de services de transfert de technologie, y compris une diligence raisonnable avant l'engagement.

12.8.3.b. Examiner les éléments de preuve et interroger le personnel responsable pour vérifier que le processus d'engagement des prestataires de services de transfert de technologie comprend une diligence raisonnable avant l'engagement.

Commencez par quantifier les risques inhérents à tous les tiers à l'aide de Prevalent. Les critères utilisés pour calculer le risque inhérent afin de hiérarchiser les tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

12.8.4 Un programme est mis en œuvre pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

12.8.4.a Examiner les politiques et les procédures pour vérifier que des processus sont définis pour contrôler le statut de conformité PCI DSS des TPSP au moins une fois tous les 12 mois.

12.8.4.b Examiner la documentation et interroger le personnel responsable pour vérifier que l'état de conformité à la norme PCI DSS de chaque TPSP est contrôlé au moins une fois tous les 12 mois.

La plate-forme Prevalent TPRM comprend une vaste bibliothèque de modèles préétablis pour les évaluations des risques des tiers, y compris ceux qui sont spécifiquement conçus pour l'ICP. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.
Prevalent intègre des recommandations de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que vos tiers traitent les risques en temps voulu et de manière satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, la plateforme Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La plateforme surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Ressources complémentaires

Blog

Répondre aux exigences de la norme PCI DSS relative aux fournisseurs de services tiers

Livre blanc

Manuel de conformité pour les tiers : Cadres de cybersécurité

Blog

Modèle gratuit de profilage et de hiérarchisation par des tiers

Guide

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.