P.I.L.O.T.E

2 min de lecture

11 - Liste des documents PCI DSS à produire et maintenir

Ce chapitre recense les documents essentiels à conserver pour démontrer votre conformité PCI DSS.
Chaque document est associé à l’exigence concernée, à sa forme typique, et à sa fréquence de mise à jour.

1. Politiques et procédures

DocumentExigences associéesTypeFréquence
Politique de sécurité PCI DSS12PDF signéAnnuelle
Procédure de gestion des accès7, 8Markdown ou PDFTrimestrielle
Procédure de revue de logs10Documentation techniqueTrimestrielle
Politique de rétention des données3Tableau, ficheAnnuelle

2. Registres et preuves

ÉlémentContenu attenduForme
Registre PANTable des systèmes contenant du PANExcel, CSV
Revue des accèsListe nominative + signature de validationPDF signé
Formation PCIListe des participants, contenu, dateAttestations, LMS
Évènements de sécuritéJournal d’incidents PCISIEM, ticketing

3. Fichiers de configuration

  • Dump firewall (exigence 1)
  • Configuration TLS / SSH (exigence 4)
  • Configuration SIEM et alertes (exigences 10, 11)
  • Règles de suppression des PAN (exigence 3)

Tip

Toutes les preuves techniques doivent être horodatées et versionnées.

4. Rapports d’audit et de tests

TypeContenu attenduFréquence
Rapport de scan ASVRésultat signé par prestataire agrééTrimestriel
Rapport de test d’intrusionInterne ou externe, avec plan d’actionAnnuel
Rapport ROCProduit par un QSA, completAnnuel
SAQQuestionnaire d’auto-évaluationAnnuelle

5. Cartographies et documents structurels

  • Cartographie du réseau PCI (CDE)
  • Schéma des flux PAN
  • Modèle de responsabilité Cloud (si applicable)
  • Cartes des flux inter-sites (VPN, DMZ…)

Warning

Toute cartographie obsolète = non-conformité immédiate.

6. Historique de conformité

  • Historique des écarts corrigés
  • Planning de remédiation
  • Suivi des audits précédents
  • Registre des décisions techniques (custom approach…)

Vue Graphique