PCI-DSS tout le monde en parle. On peut être d'accord ou pas, le fait est que ce "standard" est largement mis en oeuvre outre atlantique.
Beaucoup de clients Français nous posent la question : on y va ou on y va pas ?
La réponse est : ça dépend (faut vraiment être consultant pour répondre des trucs pareils...)
En effet, ça dépend de beaucoup de facteurs : votre société fait-elle partie d'un groupe international, votre RSSI a-t-il (ou va-t-il) mettre en place un SMSI (ISO27001), avez-vous déjà fait l'objet d'attaques visant à voler des informations liées au Cartes Bancaires ?...
Le fait est que nous autres Français ne sommes pas pressés d'y passer et pour cause : le système des cartes à puces nous protège mieux que le système plus simple utilisé aux USA.
Pour ma part, je pense que si votre entreprise a déjà mis ou met en place un système de management de la sécurité façon ISO27001, la conformité à PCI-DSS sera beaucoup plus simple car la quasi totalité du référentiel se retrouve dans la norme ISO (à quelques nuances près). Dans ce cas l'investissement (hors audits) est minime et l'avantage concurrentiel important.
En ce qui nous concerne, nous y allons !
Nous (notre entité IT&LABS) sommes en cours d'accréditation pour devenir auditeurs PCI-DSS et visons l'accréditation pour Octobre 2008. Cette accréditation nous permettra de réaliser des audits de certifications pour les client souhaitant se mettre en conformité, de type :
- QSA : Qualified Security Assessor
- ASV : Aproved Scaning Vendor
Nous visons une certification pour plusieurs régions du monde (dont l'Amérique du nord) et serions ainsi la première société Française dans cette position.
J'ajoute enfin que nous sommes aujourd'hui en mesure d'accompagner nos clients Français qui souhaitent viser une certification à moyen terme pour d'ores et déjà se mettre en conformité.
Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.