Fondement de la conformité SIC
Les exigences en matière de validation de la conformité concernent tous les niveaux de fournisseurs de service. Ce processus exige le recours à un évaluateur qualifié en matière de sécurité (QSA) (Qualified Security Assessor) ou à un fournisseur autorisé de services de balayage (ASV) (Approved Scanning Vendor) :
| Niveau des fournisseurs de service |
Mesure de validation
|
Validé par
|
Échéance
|
1 |
Évaluation annuelle de la sécurité des données de l’ICP sur place
|
QSA
|
2005-12-31 |
Balayage trimestriel de sécurité du réseau
|
ASV
|
2 |
Questionnaire annuel d’autoévaluation
|
Fournisseur de service
|
2005-12-31 |
Balayage trimestriel du réseau
|
ASV
|
Procédures et documents de validation
Depuis le 1er février 2009, Visa n’exige qu’un formulaire d’attestation de conformité dûment signé et le sommaire du rapport sur la conformité (ROC) (Report on Compliance) du fournisseur de service pour démontrer la conformité à la NSD ICP à titre de fournisseur de service de niveau 1. Les fournisseurs de service de niveau 2 doivent présenter la version D du questionnaire d’autoévaluation. Cette documentation doit être envoyée de manière sécuritaire au moyen du cryptage PGP à l’adresse pcirocs@visa.com.
Les fournisseurs de service doivent valider leur conformité en soumettant les documents requis à Visa. La validation de la conformité du fournisseur de service se déroule de la façon suivante, et, à ses frais :
Les fournisseurs de service de niveau 1 doivent faire effectuer l’évaluation annuelle de la sécurité des données de l’ICP sur place, conformément aux procédures d’audit de sécurité NSD ICP. Les fournisseurs de service de niveau 1 doivent utiliser les services d’un évaluateur qualifié en matière de sécurité pour remplir le rapport de conformité. Les procédures d’audit de sécurité NCD ICP doivent être utilisées comme gabarit pour créer le rapport de conformité. Bien que les acquéreurs soient responsables de la sécurité des données des titulaires de carte Visa peu importe où ces données résident, la portée de la validation de la conformité SIC pour les fournisseurs de service de niveau 1 se concentre sur tout système ou toute composante de système lié au traitement, au stockage ou à la transmission des données sur les titulaires de carte Visa, et sur tout système connexe. La portée de la validation SIC est décrite dans les procédures d’audit de sécurité NSD ICP.
Le balayage trimestriel de sécurité du réseau est un outil automatisé utilisé pour détecter les vulnérabilités des systèmes. Il effectue un balayage non invasif des réseaux d’examen distants et des applications Web sur une adresse de protocole Internet (IP) en contact externe fournie par le fournisseur de service. Les fournisseurs de service des niveaux 1 et 2 doivent s’assurer qu’un balayage trimestriel de sécurité du réseau est exécuté sur leurs systèmes périphériques en contact avec Internet par un fournisseur autorisé de services de balayage.
Un client utilisant un fournisseur de service ou un acquéreur dont le marchand utilise un fournisseur de service qui ne se conforme pas au programme SIC devrait prier ce dernier de consulter le présent site pour obtenir des renseignements sur la façon de devenir un fournisseur de service conforme.
haute de la page |
