Bonjour, Comme tu le dis, tu as intérêt à limiter au maximum le nombre de services qui sont inclus dans ta bulle PCI pour éviter toutes les contraintes associées à PCI-DSS. Mais si des numéros de carte bleue sont stockés, ou transitent en clair sur un équipement, les contraintes PCI-DSS s'appliquent aussi à ce dernier, donc les serveurs de transcription également.
Cdlt Note: je ne suis pas forcément à jour des dernières évolution du standard, mais je ne pense pas que ce point ait changé. Et la décision finale reviendra à ton QSA. On Thu, 15 Oct 2020 at 11:55, Mickael Hubert <mick...@winlux.fr> wrote: > Bonjour à tous, > j'ai une petite question dont je ne trouve pas encore la réponse. > > Nous allons bientôt traiter des appels bancaire sous forme d'enregistrement > audio. Le traitement sera une transcription complète de l'appel (STT), dont > les données bancaires (Ex: numéros de carte bleue dictés lors de l'appel). > Notre client nous demande d'être PCI-DSS pour pouvoir travailler avec, mais > quel service doit-être PCI-DSS ? > J'imagine que le stockage à plat de ces audios lui doit-être PCI-DSS, mais > les serveurs de transcription doivent-ils l'être ? > En fait, j'ai entendu dire qu'une donnée bancaire qui ne faisait que > transiter pendant quelques millisecondes par un serveur, celui-ci n'avait > pas besoin d'être PCI. > A partir du moment ou ces traitements sont enfermés dans un vlan 100% privé > (genre DMZ). > > Auriez-vous des infos sur ce type de sujet s'il vous plaît ? > L'idée serait de passer par un hébergeur PCI-DSS, mais bien entendu de > mettre le moins possible chez lui, au vu de la différence de prix de ce > type d'hébergement. > > Un grand merci d'avance pour votre aide ! > ++ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
