PCI DSS (Payment Card Indusrty Data Security Standard) est un standard créé par le Groupement des Cartes Bancaires (GIE CB). Il a pour objectif de renforcer la sécurité des systèmes d’information des acteurs qui traitent, stockent ou transportent ces données sensibles. Ce standard est composé de 12 exigences qui concernent l’aspect technique mais également l’aspect organisationnel.
Runiso a été pionnier parmi les infogéreurs français à être certifié. Sébastien Baert, son directeur associé explique l’intérêt de ce standard.
Solutions & Logiciels IT : Qu’est-ce que ce standard offre aux entreprises ?
Sébastien Baert : Cette certification nous permet d’apporter un niveau de sécurité supplémentaire à tous nos clients. La procédure de certification est longue et coûteuse. Chez Runiso, alors que nos infrastructures bénéficiaient déjà d’un bon niveau de sécurité, elle a mobilisé toute une équipe (experts réseaux, systèmes et sécurité) pendant de nombreuses semaines. Aujourd’hui, nous faisons profiter l’ensemble de nos clients d’un socle certifié PCI DSS. Et pour ceux qui souhaitent aller plus loin et se certifier, nous leur mettons à disposition un environnement certifié PCI DSS et les accompagnons pour accélérer leur accréditation.
Quels types de compétences et de garanties sont demandés pour disposer de cette certification ?
La certification demande aussi bien des compétences techniques que managériales et organisationnelles. Une bonne partie des exigences sont liées au durcissement du système d’exploitation et du réseau (traçabilité). Elles exigent des compétences dans les outils anti intrusion WAF (Web Application Firewall), IDS (Intrusion Detection System) et scan de vulnérabilité. Ce standard demande également des compétences organisationnelles liées à une politique de sécurité exigeant une gestion des accès et des process stricts (gestion des incidents et gestion du changement).
L’ensemble de ces exigences sont validées tous les ans par un auditeur externe, un QSA (Qualified Security Assessors) accrédité par le PCI Council (American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.).
Quelle est l’étape suivante ?
Notre spécificité est d’héberger et d’infogérer les applications critiques, après les données bancaires, nous nous attaquons aux données de santé. Notre certification HDS (hébergeur de données de santé) est en cours.