Pas mieux : limitation au maximum du périmètre. Le périmètre comprends aussi bien le (s) serveur (s) contenant les données des cartes bancaires, mais également le stockage utilisé (chiffrement au repos) et/ou la base de données utilisée, ainsi que les postes de travail des administrateurs, et le contrôle d'accès à l'ensemble.
Pour chaque élément du périmètre, prévoir un guide de sécurité, une procédure (et des délais) de mise à jour et les preuves et la traçabilité à fournir aux auditeurs. Bonne chance, je viens de sortir (avec succès) de cet audit et c'est éprouvant. On Thu, Oct 15, 2020, 12:46 Mathieu Dessus <[email protected]> wrote: > Bonjour, > > Comme tu le dis, tu as intérêt à limiter au maximum le nombre de services > qui sont inclus dans ta bulle PCI pour éviter toutes les contraintes > associées à PCI-DSS. Mais si des numéros de carte bleue sont stockés, ou > transitent en clair sur un équipement, les contraintes PCI-DSS s'appliquent > aussi à ce dernier, donc les serveurs de transcription également. > > Cdlt > > Note: je ne suis pas forcément à jour des dernières évolution du standard, > mais je ne pense pas que ce point ait changé. Et la décision finale > reviendra à ton QSA. > > On Thu, 15 Oct 2020 at 11:55, Mickael Hubert <[email protected]> wrote: > > > Bonjour à tous, > > j'ai une petite question dont je ne trouve pas encore la réponse. > > > > Nous allons bientôt traiter des appels bancaire sous forme > d'enregistrement > > audio. Le traitement sera une transcription complète de l'appel (STT), > dont > > les données bancaires (Ex: numéros de carte bleue dictés lors de > l'appel). > > Notre client nous demande d'être PCI-DSS pour pouvoir travailler avec, > mais > > quel service doit-être PCI-DSS ? > > J'imagine que le stockage à plat de ces audios lui doit-être PCI-DSS, > mais > > les serveurs de transcription doivent-ils l'être ? > > En fait, j'ai entendu dire qu'une donnée bancaire qui ne faisait que > > transiter pendant quelques millisecondes par un serveur, celui-ci n'avait > > pas besoin d'être PCI. > > A partir du moment ou ces traitements sont enfermés dans un vlan 100% > privé > > (genre DMZ). > > > > Auriez-vous des infos sur ce type de sujet s'il vous plaît ? > > L'idée serait de passer par un hébergeur PCI-DSS, mais bien entendu de > > mettre le moins possible chez lui, au vu de la différence de prix de ce > > type d'hébergement. > > > > Un grand merci d'avance pour votre aide ! > > ++ > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
