SMPFR

Bonjour à tous,
je me posais une question, votre entreprise a t'elle entrepris de certifier son SI PCI-DSS ?
Si oui, très brievement, comment ça se passe ? (je suis au courant des 12 points, et des 158 tests de conformité), j'ai lu qu'il fallait au moins 9 mois de mise en place :/
et ça coûte un bras non ?
Merci

Hello,
C'est un truc qui s'applique aux sociétés qui font notamment du e-commerce et ça vise les transactions par carte bancaire (visa ou mastercard).

Pour faire court, oui c'est long à mettre en oeuvre, comme toute "norme" ou bonne pratique. Typiquement, si tu es engagé dans un processus 27001 tu couvres déjà une bonne partie des demandes PCI-DSS. Sachant qu'une 27001 pour par exemple une petite multinationale de 200 à 2000 employés ça va prendre dans les deux ans pour 1 à 2 personnes dédiées à cette charge. Le coût est dans le temps passé à monter la conformité puis dans les audits annuels et les tests de vulnérabilités (un test de vulnérabilités un peu poussé et sous-traité sur 7 à 10 jours c'est déjà dans les 15 ou 20 000 euros), tous deux obligatoires (selon ton niveau je crois pour l'audit annuel).

Je ne connais pas assez pour t'en dire plus

C'est déjà pas mal merci, j'en ai reparlé à mon chef.
L'idée était d'avoir une vue d'ensemble sur les démarches, le temps que ça va prendre (qui semble comme tu le confirmes être un facteur très très important).
Globalement, mettre en place ce genre de démarches, c'est se lancer dans un truc assez lourd.
Par contre je n'ai pas trouvé l'info sur le caractère obligatoire de cette norme. Merci micha!

Cette "norme" est assez jeune, et est poussée par Visa et Mastercard. Elle n'est pas obligatoire du tout.

Par contre si tu souhaites la suivre, tu as des trucs obligatoires du genre, passer un audit annuel si t'es niveau 1, ou mettre en place des tests d'intrusion sur tes ressources accessibles depuis le net, typiquement ton site d'e-commerce.

Il existe beaucoup d'autres normes plus généralistes qui sont intéressantes, à commencer par la 9001 et la 27001