FAQ

A - Les rôles des réseaux et de PCI SSC

Le PCI SSC est une organisation américaine dont le rôle est de définir les standards PCI et de gérer leur cycle de vie pour le compte de la communauté des acteurs concernés, réseaux, établissements bancaires et marchands. Le PCI SSC maintient également une liste de sociétés agréées pour effectuer les contrôles de conformité et les analyses de vulnérabilité des systèmes d’information. Enfin le PCI SSC dispense des formations (ISA, Internal Security Assessor), qualifie les auditeurs de sécurité (QSA, Qualified Security Assessor)) habilités à réaliser des audits sur site et approuve les fournisseurs de solutions de sécurité pour effectuer des scans de vulnérabilité (ASV, Approved Scanning Vendor). La présentation du PCI SSC et les standards associés sont disponibles sur le site de PCI SSC à cette adresse
Les programmes Security Data Protection de MasterCard et Account information Security de Visa sont des règles contractuelles établies entre ces réseaux et leurs affiliés (Etablissements de crédit et de paiement) qui définissent le niveau de mise en conformité au regard des normes définies par le PCI SSC. Par exemple ce n’est pas le PCI SSC qui applique les éventuelles pénalités mais chaque réseau en fonction de ses règles.
Source : GIE-CB