P.I.L.O.T.E

2 min de lecture

7 - Gouvernance de la conformité PCI DSS

Objectif

Mettre en œuvre une gouvernance efficace de la conformité PCI DSS dans l’entreprise, en s’appuyant sur une organisation claire, une documentation solide et une implication des parties prenantes.

Rôles et responsabilités

RôleResponsabilités clés
RSSIPilote la démarche PCI DSS, supervise les audits, assure la gouvernance SSI globale
DSI / InfraImplémente les contrôles techniques, maintient les configurations sécurisées
QSARéalise l’audit PCI (ROC), conseille sur les preuves
MétiersComprennent les impacts métier, coopèrent à la collecte des preuves
Comptabilité / FinanceSuivent les implications contractuelles avec les acquéreurs

Gouvernance documentaire

  • Politique PCI DSS alignée sur la PSSI
  • Registre des données PAN
  • Cartographie du périmètre CDE
  • Plan de mise en conformité (roadmap)
  • Registres de formation/sensibilisation
  • Rapports de scans, ROC, SAQ, ASV

Tip

L’ensemble des documents doit être centralisé et mis à jour annuellement.

Sensibilisation & formation

CibleFréquenceSupport
Tous salariés1 fois/an minimume-learning, présentiel
IT / Dev / SupportFormation ciblée PCIQuiz, cas pratiques
CommerçantsMessages simples (affiches, guides)Support visuel

Réunion annuelle de gouvernance

  • Présentation du statut PCI
  • Bilan des écarts de conformité
  • Évaluation des incidents liés au PAN
  • Planning des actions correctives

Intégration dans la PSSI

Élément PSSILien avec PCI
Gestion des accèsExigences 7 et 8
JournalisationExigence 10
Politique de sécuritéExigence 12
Continuité d’activitéComplémentaire mais non exigée
Gestion des tiersLiée au périmètre PCI externalisé

Warning

Toute modification du périmètre (ex : nouveau prestataire) doit déclencher une revue de conformité PCI.

Conclusion

La gouvernance PCI DSS ne repose pas uniquement sur des contrôles techniques, mais sur une démarche transverse et continue, impliquant IT, sécurité, métiers et direction.

Vue Graphique