payment card industry (pci) data security standard ... · payment card industry (pci) data security...

Payment Card Industry (PCI) Data Security Standard

Questionnaire d’auto-évaluation

PCI DSS – Questionnaire d’auto-évaluation - Instructions et directives v. 1.2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page ii

Modifications apportées au document

Date Version Description

1er

octobre 2008 1.2 Aligner le contenu avec la nouvelle procédure PCI DSS v1.2 et

implémenter les changements mineurs notés depuis la v1.1 d’origine.

PCI DSS – Questionnaire d’auto-évaluation - Instructions et directives v. 1.2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page iii

Table des matières

Modifications apportées au document ........................................................................ ii

À propos de ce document ............................................................................................ 1

Auto-évaluation des normes PCI DSS : Une méthode complète et cohérente ....... 2

Normes PCI DSS : Documents connexes .................................................................. 3

Présentation du questionnaire d’auto-évaluation ...................................................... 4

En quoi la conformité aux normes PCI DSS est-elle importante ? ........................... 5

Stratégies et conseils d’ordre général pour la préparation à la validation de conformité ...................................................................................................................... 6

Sélection du questionnaire d’auto-évaluation et de l’attestation les plus appropriés pour votre entreprise ................................................................................. 9

Type de validation SAQ 1 / SAQ A : Carte absente, sous-traitance de toutes les fonctions de données de titulaire de carte ......................................................... 9

Type de validation SAQ 2 / SAQ B : Commerçants avec dispositif d’impression uniquement, aucun stockage électronique de données de titulaire de carte.............. 10

Type de validation SAQ 3 / SAQ B : Commerçants avec terminal par ligne commutée autonome, aucun stockage électronique de données de titulaire de carte ... 10

Type de validation SAQ 4 / SAQ C : Commerçants avec systèmes d’application de paiement connectés à Internet .................................................................... 11

Type de validation SAQ 5 / SAQ D : Tous les autres commerçants et tous les prestataires de services pouvant compléter un questionnaire d’auto-évaluation de par une marque de carte de paiement ................................... 11

Directives sur la non-applicabilité et l’exclusion de certaines exigences spécifiques ............................ 12

Instructions pour compléter le questionnaire d’auto-évaluation ............................ 13

Questionnaire d’auto-évaluation/Instructions et directives—Quel est mon type de validation ? ............................................................................................................. 14

PCI DSS – Questionnaire d’auto-évaluation - Instructions et directives v. 1.2 Octobre 2008 Copyright 2008 PCI Security Standards Council LLC Page 1

À propos de ce document

Ce document a pour objectif d’aider les commerçants et les prestataires de services à comprendre le questionnaire d’auto-évaluation ou SAQ (Self-Assessment Questionnaire) portant sur les normes PCI Data Security Standard (DSS). Lisez l’intégralité de ces instructions et directives pour cerner l’importance des normes PCI DSS pour votre entreprise, découvrir les stratégies qu’elle peut adopter pour faciliter la validation de conformité et connaître les conditions à remplir pour utiliser des versions de questionnaire d’auto-évaluation plus courtes. Les sections suivantes contiennent tout ce que vous devez savoir sur le questionnaire d’auto-évaluation PCI DSS.

Auto-évaluation des normes PCI DSS : Une méthode complète et cohérente

Normes PCI DSS : Documents connexes

Présentation du questionnaire d’auto-évaluation

En quoi la conformité aux normes PCI DSS est-elle importante ?

Stratégies et conseils d’ordre général

Sélection du questionnaire d’auto-évaluation le plus approprié pour votre entreprise

Directives sur la non-applicabilité et l’exclusion de certaines exigences spécifiques

Comment compléter le questionnaire


Auto-évaluation des normes PCI DSS : Une méthode complète et cohérente

Les normes PCI DSS et les documents connexes forment un ensemble de méthodes d'évaluation et d'outils communs au secteur et destinés à garantir la sécurité du traitement des informations sensibles. Ces normes fournissent un cadre concret dans lequel inscrire le développement d’un système de sécurité efficace pour les données bancaires. Elles s'attachent aussi bien à la prévention et à la détection des incidents de sécurité qu'à leur résolution. Pour réduire le risque d'incident et atténuer l'impact si un incident venait à se produire, il est important que toutes les entités impliquées dans le stockage, le traitement ou la transmission de données de titulaire de carte soient conformes aux normes. Le graphique suivant présente les outils disponibles pour accompagner les entreprises dans les processus d'auto-évaluation et de conformité aux normes PCI DSS. Vous pouvez retrouver ces outils, ainsi que d’autres documents associés, sur www.pcisecuritystandards.org.

http://www.pcisecuritystandards.org/


Normes PCI DSS : Documents connexes

Les documents suivants ont été conçus de manière à aider les commerçants et les prestataires de

services à comprendre les normes PCI DSS et le questionnaire d’auto-évaluation PCI DSS.

Document Public

Normes de sécurité des données de la PCI : Conditions et

procédures d'évaluation de sécurité

Tous les commerçants et les

prestataires de services

Navigation dans les normes PCI DSS : Comprendre l’objectif

des exigences



Normes de sécurité des données de la PCI : Instructions et

directives sur l’auto-évaluation



Normes de sécurité des données de la PCI : Questionnaire

d’auto-évaluation A et attestation

Commerçants1


d’auto-évaluation B et attestation

Commerçants1


d’auto-évaluation C et attestation

Commerçants1


d’auto-évaluation D et attestation

Commerçants1 et tous les


Glossaire des termes, abréviations et acronymes PCI DSS et

PA-DSS



1 Pour déterminer le questionnaire d’auto-évaluation approprié, consultez le document Normes de

sécurité des données de la PCI : Instructions et directives sur l’auto-évaluation, « Sélection du questionnaire d’auto-évaluation et de l’attestation les plus appropriés pour votre entreprise ».


Présentation du questionnaire d’auto-évaluation

Le questionnaire d’auto-évaluation PCI DSS est un outil de validation permettant aux commerçants et aux prestataires de services d’évaluer eux-mêmes leur conformité aux normes PCI DSS. Il existe plusieurs versions du questionnaire d’auto-évaluation PCI DSS afin de s’adapter à diverses situations. Ce document vise à aider les entreprises à déterminer la version du questionnaire d’auto-évaluation la plus appropriée dans leur cas. Le questionnaire d’auto-évaluation PCI DSS est un outil de validation destiné aux commerçants et aux prestataires de services qui n’ont pas l’obligation de se soumettre à une évaluation de sécurité des données sur site en vertu des conditions et procédures d’évaluation de sécurité des normes PCI DSS, et peut vous être demandé par votre acquéreur ou votre marque de carte de paiement. Renseignez-vous sur les conditions de validation PCI DSS auprès de votre acquéreur ou de votre marque de carte de paiement. Le questionnaire d’auto-évaluation PCI DSS comporte les éléments suivants :

1. Questions liées aux exigences PCI DSS en fonction des prestataires de services et des

commerçants : Reportez-vous à la section « Sélection du questionnaire d’auto-évaluation et de l’attestation les plus appropriés pour votre entreprise » dans ce document.

2. Attestation de conformité : L’attestation certifie que votre entreprise a procédé à l’auto-évaluation appropriée.


En quoi la conformité aux normes PCI DSS est-elle importante ?

Les membres du PCI Security Standards Council ou PCI SSC (American Express, Discover, JCB, MasterCard et Visa) traitent en permanence des incidents sur des données bancaires. Ces incidents concernent toutes les entreprises, des plus petits aux plus grands commerçants et prestataires de services. Les violations de sécurité et autres problèmes portant sur des données de carte de paiement exposent les entreprises affectées à de lourdes conséquences, parmi lesquelles :

1. Notification réglementaire requise

2. Réputation écornée

3. Perte de clients

4. Passif financier potentiel (amendes, frais réglementaires et divers, par exemple)

5. Litiges L’analyse de ces incidents a mis en évidence des failles de sécurité communes, qui sont prises en charge par les normes PCI DSS. Malheureusement, au moment des incidents, ces normes n’étaient pas encore appliquées dans les entreprises. C’est dans le but de réduire le risque d’incident et de limiter l’impact des incidents que les normes PCI DSS ont été élaborées et contiennent des exigences détaillées. Les investigations menées à la suite d’incidents font systématiquement ressortir des violations similaires des normes PCI DSS, parmi lesquelles :

Stockage des données de bande magnétique (exigence 3.2). À cet égard, il faut noter que de nombreuses entités affectées ignorent que leurs systèmes stockent ces données.

Contrôles d’accès inappropriés en raison de systèmes de point de vente mal installés chez les commerçants, permettant l’intrusion de pirates via des chemins d’accès théoriquement réservés aux fournisseurs de point de vente (exigences 7.1, 7.2, 8.2 et 8.3)

Non-modification des mots de passe et paramètres du système par défaut lors de la mise en service du système (exigence 2.1)

Non-suppression ou non-correction des services non requis et non sécurisés lors de la mise en service du système (exigence 2.2.2)

Applications Internet avec codage faible entraînant des attaques par injection SQL et autres vulnérabilités, qui permettent d’accéder à la base de données stockant les données de titulaire de carte directement à partir du site Internet (exigence 6.5)

Correctifs de sécurité manquants ou obsolètes (exigence 6.1)

Problèmes de journalisation (exigence 10)

Manque de contrôle (avec examen des journaux, prévention/détection des intrusions, analyses semestrielles des vulnérabilités et systèmes de contrôle de l’intégrité des fichiers) (exigences 10.6, 11.2, 11.4 et 11.5)

Manque de segmentation dans un réseau, rendant les données de titulaire de carte facilement accessibles par des failles au niveau des autres parties du réseau (à partir de points d’accès sans fil, du courrier électronique des employés et de la navigation sur Internet, par exemple) (exigences 1.3 et 1.4)


Stratégies et conseils d’ordre général pour la préparation à la validation de conformité

Cette section présente des stratégies et des conseils d’ordre général pour engager vos démarches de validation de conformité aux normes PCI DSS. Ces conseils vous aideront à éliminer les données dont vous n’avez pas besoin, à isoler celles dont vous avez besoin dans des zones centralisées définies et contrôlées et à limiter la portée de votre travail de validation de conformité aux normes PCI DSS. Par exemple, en éliminant les données dont vous n’avez pas besoin et/ou en les isolant dans des zones définies et contrôlées, il vous est possible de supprimer les systèmes et les réseaux qui ne sont plus impliqués dans le stockage, le traitement ou la transmission de données de titulaire de carte de votre processus d’auto-évaluation.

1. Données d’authentification sensibles (incluant la totalité du contenu de la bande magnétique, les codes et valeurs de validation de carte et les blocs PIN) :

a. Veillez à ne jamais stocker ces données.

b. En cas de doute, demandez à votre fournisseur de point de vente si le produit logiciel ou la version que vous utilisez stocke ces données. Vous pouvez également recruter un évaluateur de sécurité qualifié ou QSA (Qualified Security Assessor) pour vous aider à vérifier qu’aucune donnée d’authentification sensible n’est stockée, consignée ou enregistrée dans vos systèmes.

2. Si vous êtes commerçant, renseignez-vous sur la sécurité de votre système auprès de

votre fournisseur de point de vente, en lui posant les questions suivantes :

a. Mon logiciel de point de vente est-il validé par la norme de sécurité des données des applications de paiement ou PA-DSS (voir la liste du PCI SSC des applications de paiement validées) ?

b. Mon logiciel de point de vente stocke-t-il les données de bande magnétique (données de piste) ou les blocs PIN ? Si tel est le cas, ce type de stockage étant interdit, sous quel délai pouvez-vous m’aider à le supprimer ?

c. Pouvez-vous me fournir la liste des fichiers écrits par l’application avec un récapitulatif du contenu de chaque fichier de manière à ce que je puisse vérifier que les données interdites mentionnées précédemment ne sont pas stockées ?

d. Votre système de point de vente m’oblige-t-il à installer un pare-feu afin de protéger mes systèmes de tout accès non autorisé ?

e. L’accès à mes systèmes requiert-il l’utilisation de mots de passe complexes et uniques ? Êtes-vous en mesure de me confirmer que vous n’utilisez pas de mots de passe par défaut ou communs pour mon système et pour les systèmes d’autres commerçants que vous fournissez ?

f. Les mots de passe et les paramètres par défaut ont-ils été modifiés sur les systèmes et les bases de données du système de point de vente ?

g. Tous les services non requis et non sécurisés ont-ils été supprimés des systèmes et des bases de données du système de point de vente ?

h. Pouvez-vous accéder à mon système de point de vente à distance ? Si tel est le cas, avez-vous mis en place des contrôles appropriés afin d’empêcher d’autres individus d’accéder à mon système de point de vente, en ayant, par exemple, recours à des méthodes d’accès à distance sécurisées ou en évitant d’utiliser des mots de passe par défaut ou communs ? À quelle fréquence accédez-vous à mon appareil de point de vente à distance et pourquoi ? Qui est autorisé à accéder à mon point de vente à distance ?


i. Tous les systèmes et les bases de données du système de point de vente ont-ils été mis à jour avec les derniers correctifs de sécurité disponibles ?

j. La fonction de journalisation est-elle activée pour les systèmes et les bases de données du système de point de vente ?

k. Si les versions antérieures de mon logiciel de point de vente stockaient les données de piste, cette fonction a-t-elle été supprimée avec les mises à jour du logiciel de point de vente ? Un utilitaire de nettoyage sécurisé a-t-il été utilisé pour supprimer ces données ?

3. Données de titulaire de carte : Inutile de les stocker si vous n’en avez pas besoin

a. Les règles des marques de carte de paiement autorisent le stockage du numéro de compte principal ou PAN (Primary Account Number), de la date d’expiration, du nom du titulaire de la carte et du code de service.

b. Faites l’inventaire des raisons pour lesquelles vous conservez ces données et des emplacements où vous les stockez. Si ces données ne servent aucun objectif professionnel utile, pensez à les éliminer.

c. Demandez-vous si le stockage de ces données et l’objectif professionnel qu’il sert justifient les éléments suivants :

i. Risque d’incident sur les données

ii. Démarches supplémentaires de conformité aux normes PCI DSS pour la protection des données

iii. Efforts déployés en continu pour le maintien de la conformité aux normes PCI DSS

4. Données de titulaire de carte : Veillez à les isoler et à les consolider si vous en avez besoin

a. Vous pouvez limiter la portée de l'évaluation des normes PCI DSS en consolidant le stockage des données dans un environnement défini et en isolant les données grâce à l’utilisation d’une segmentation réseau appropriée. Par exemple, si vos employés utilisent Internet et reçoivent du courrier électronique sur la même machine ou le même segment réseau que les données de titulaire de carte, envisagez de segmenter (d’isoler) les données de titulaire de carte sur leur propre machine ou segment réseau (à l’aide de routeurs ou de pare-feu). Si vous pouvez isoler les données de titulaire de carte efficacement, vous serez en mesure de concentrer vos efforts de conformité aux normes PCI DSS sur la partie isolée uniquement plutôt que de devoir inclure toutes les machines.

5. Organisez des contrôles compensatoires

a. Des contrôles compensatoires peuvent être envisagés lorsqu’une entreprise ne peut se conformer à toutes les spécifications techniques des normes PCI DSS, mais qu’elle a parallèlement suffisamment atténué les risques associés. Si votre entreprise ne possède pas exactement le contrôle indiqué dans les normes PCI DSS mais qu’elle a mis en place d’autres contrôles correspondant à la définition des contrôles compensatoires selon les normes PCI DSS (voir « Contrôles compensatoires » dans l’annexe du questionnaire d’auto-évaluation et le document Glossaire des termes, abréviations et acronymes PCI DSS et PA-DSS sur www.pcisecuritystandards.org), votre entreprise doit procéder comme suit :

i. Répondre « Oui » à la question du questionnaire d’auto-évaluation et indiquer chaque contrôle compensatoire utilisé pour respecter une exigence dans la colonne « Spécial ».

http://www.pcisecuritystandards.org/


ii. Consulter « Contrôles compensatoires » dans l’annexe et compléter la fiche de contrôles compensatoires pour détailler l’utilisation de contrôles compensatoires.

a) Compléter une fiche de contrôles compensatoires pour chaque exigence satisfaite par un contrôle compensatoire.

iii. Transmettre toutes les fiches de contrôles compensatoires, avec le questionnaire d’auto-évaluation complété et/ou l’attestation, selon les instructions de votre acquéreur ou de votre marque de carte de paiement.

6. Assistance professionnelle

a. Nous vous encourageons, si vous le souhaitez, à vous faire assister par un professionnel de la sécurité pour respecter la conformité et compléter le questionnaire d’auto-évaluation. Vous être libre de faire appel au professionnel de votre choix mais seuls ceux de la liste du PCI SSC répertoriant les évaluateurs de sécurité qualifiés ou QSA (Qualified Security Assessors) sont reconnus en tant que tels et formés par le PCI SSC. Cette liste est disponible à l’adresse suivante : https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf.


Sélection du questionnaire d’auto-évaluation et de l’attestation les plus appropriés pour votre entreprise

Selon les règles des marques de carte de paiement, tous les commerçants et les prestataires de services sont tenus de se conformer aux normes PCI DSS dans leur intégralité. Il existe cinq catégories de validation SAQ. Ces catégories sont brièvement présentées dans le tableau ci-après et détaillées dans les paragraphes suivants. Consultez le tableau pour déterminer le questionnaire d’auto-évaluation qui s’applique à votre entreprise, puis reportez-vous aux descriptions détaillées pour vous assurer que vous remplissez les conditions pour ce questionnaire.

Type de validation

SAQ Description

SAQ

1 Commerçants carte absente (commerce électronique ou commande par courrier/téléphone), sous-traitance de toutes les fonctions de données de titulaire de carte. Ne peut s’appliquer aux commerçants en face-à-face.

A

2 Commerçants avec dispositif d’impression uniquement, sans stockage de données de titulaire de carte

B

3 Commerçants avec terminal par ligne commutée autonome, aucun stockage de données de titulaire de carte

B

4 Commerçants avec systèmes d’application de paiement connectés à Internet, aucun stockage de données de titulaire de carte

C

5 Tous les autres commerçants (non inclus dans les descriptions des SAQ A à C ci-dessus) et tous les prestataires de services pouvant compléter un questionnaire de par une marque de carte de paiement

D

Type de validation SAQ 1 / SAQ A : Carte absente, sous-traitance de toutes les fonctions

de données de titulaire de carte

Le SAQ A a été conçu pour répondre aux besoins des commerçants qui ne conservent que des reçus ou des rapports sur papier avec les données de titulaire de carte, qui ne stockent aucune donnée de titulaire de carte au format électronique et qui ne traitent ou ne transmettent aucune donnée de titulaire de carte dans leurs locaux. Les commerçants répondant au type de validation 1 ne stockent aucune donnée de titulaire de carte au format électronique, ne traitent ou ne transmettent aucune donnée de titulaire de carte dans leurs locaux, et doivent obtenir une validation de conformité en complétant le SAQ A et l’attestation de conformité, en confirmant les éléments suivants :

Pour choisir votre type de validation, consultez le graphique « Questionnaire d’auto-évaluation/ Instructions et directives — Quel est mon type de validation ? », à la page 14.

Votre entreprise ne traite que des transactions carte absente (commerce électronique ou commande par courrier/téléphone).

Votre entreprise ne stocke, ne traite ou ne transmet aucune donnée de titulaire de carte dans vos locaux. La gestion de toutes ces fonctions est confiée à une tierce partie.

Votre entreprise est en mesure de confirmer la conformité de la gestion de la tierce partie en matière de stockage, de traitement et/ou de transmission de données de titulaire de carte avec les normes PCI DSS.


Votre entreprise ne conserve que des reçus ou des rapports sur papier avec les données de titulaire de carte, et ces documents ne sont pas reçus au format électronique.

Votre entreprise ne stocke aucune donnée de titulaire de carte au format électronique.

Cette option ne peut s’appliquer aux commerçants avec un environnement de point de vente en face-à-face.

Type de validation SAQ 2 / SAQ B : Commerçants avec dispositif d’impression

uniquement, aucun stockage électronique de

données de titulaire de carte

Le SAQ B a été conçu pour répondre aux besoins des commerçants qui traitent les données de titulaire de carte par dispositif d’impression ou terminal par ligne commutée autonome. Les commerçants répondant au type de validation 2 ne traitent les données de titulaire de carte que par dispositif d’impression, et doivent obtenir une validation de conformité en complétant le SAQ B et l'attestation de conformité, en confirmant les éléments suivants :

Votre entreprise ne traite les informations de carte de paiement de vos clients que par dispositif d’impression.

Votre entreprise ne transmet jamais de données de titulaire de carte par téléphone ou sur Internet.

Votre entreprise ne conserve que des copies sur papier des reçus.



Type de validation SAQ 3 / SAQ B : Commerçants avec terminal par ligne commutée

autonome, aucun stockage électronique de données

de titulaire de carte

Le SAQ B a été conçu pour répondre aux besoins des commerçants qui traitent les données de titulaire de carte par dispositif d’impression ou terminal par ligne commutée autonome. Les commerçants répondant au type de validation 3 traitent les données de titulaire de carte par terminal par ligne commutée autonome et prennent en charge les transactions de type clic et mortier (carte présente) ou de type commerce électronique ou commande par courrier/téléphone (carte absente). Ils doivent obtenir une validation de conformité en complétant le SAQ B et l’attestation de conformité associée, en confirmant les éléments suivants :

Votre entreprise n’utilise que des terminaux par ligne commutée autonomes (connectés à votre processeur via une ligne téléphonique).

Les terminaux par ligne commutée autonomes ne sont connectés à aucun autre système dans votre environnement.

Les terminaux par ligne commutée autonomes ne sont pas connectés à Internet.

Votre entreprise ne conserve que des rapports sur papier ou des copies sur papier des reçus.



Type de validation SAQ 4 / SAQ C : Commerçants avec systèmes d’application de

paiement connectés à Internet

Le SAQ C a été conçu pour répondre aux besoins des commerçants dont les systèmes d'application de paiement (systèmes de panier d’achat ou point de vente, par exemple) sont connectés à Internet (via connexion haut débit, DSL, modem câble, etc.) pour l’une des raisons suivantes :

1. Le système d’application de paiement se trouve sur un ordinateur personnel connecté à Internet (pour courrier électronique ou navigation sur Internet, par exemple).

2. Le système d’application de paiement est connecté à Internet pour transmettre des données de titulaire de carte.

Les commerçants répondant au type de validation 4 traitent les données de titulaire de carte par système d’application de paiement connecté à Internet, ne stockent aucune donnée de titulaire de carte sur des systèmes informatiques et prennent en charge les transactions de type clic et mortier (carte présente) ou de type commerce électronique ou commande par courrier/téléphone (carte absente). Ils doivent obtenir une validation de conformité en complétant le SAQ C et l’attestation de conformité associée, en confirmant les éléments suivants :

Votre entreprise possède un système d’application de paiement et une connexion Internet sur le même appareil.

L'appareil avec le système d'application de paiement et la connexion Internet n'est connecté à aucun autre système dans votre environnement.

Votre entreprise ne conserve que des rapports sur papier ou des copies sur papier des reçus.


Le fournisseur du logiciel d’application de paiement de votre entreprise a recours à des techniques sécurisées afin d'offrir un service d'assistance à distance pour votre système d'application de paiement.


Type de validation SAQ 5 / SAQ D : Tous les autres commerçants et tous les

prestataires de services pouvant compléter un

questionnaire d’auto-évaluation de par une marque

de carte de paiement

Le SAQ D a été conçu pour répondre aux besoins des prestataires de services pouvant compléter un questionnaire d’auto-évaluation de par une marque de carte de paiement et des commerçants non inclus dans les types de validation 1 à 4 ci-dessus. Les prestataires de services et les commerçants répondant au type de validation 5 doivent obtenir une validation de conformité en complétant le SAQ D et l’attestation de conformité associée. Si la plupart des entreprises complétant le SAQ D doivent obtenir une validation de conformité pour toutes les exigences PCI DSS, certaines présentant des modèles commerciaux spécifiques ne sont pas concernées par l’ensemble des exigences. Par exemple, une entreprise qui n’utilise pas la technologie sans fil ne se voit pas contrainte d’obtenir une validation de conformité pour les sections des normes PCI DSS relatives à la technologie sans fil. Consultez les directives qui suivent pour plus d’informations sur l’exclusion de la technologie sans fil et d’autres exigences spécifiques.


Directives sur la non-applicabilité et l’exclusion de certaines exigences spécifiques

Exclusion : S’il vous est demandé de répondre au SAQ C ou D pour valider votre conformité aux normes

PCI DSS, il est nécessaire de considérer les exceptions suivantes. Reportez-vous à la section « Non-

applicabilité » ci-après pour plus d’informations.

Exigences 1.2.3 (SAQ D), 2.1.1 (SAQ C et D) et 4.1.1 (SAQ D) : Ces questions spécifiques ne

concernent que les entreprises dont le réseau est équipé de la technologie sans fil. Il est nécessaire

de répondre à l’exigence 11.1 (utilisation d’un analyseur sans fil) même si votre réseau ne fait pas

intervenir la technologie sans fil, l’analyseur détectant les périphériques non autorisés ou malveillants

qui auraient pu être ajoutés à votre insu.

Exigences 6.3-6.5 (SAQ D) : Ces questions portant sur le code et les applications personnalisés ne

s'adressent qu'aux entreprises écrivant leurs propres applications Web personnalisées.

Exigences 9.1-9.4 (SAQ D) : Ces questions ne concernent que les installations avec des zones

sensibles, comme définies ici. Par « zones sensibles », nous entendons tout centre de données, salle

de serveurs ou zone abritant des systèmes qui stockent, traitent ou transmettent des données de

titulaire de carte. Cette définition exclut les zones où ne sont installés que des terminaux de point de

vente, telles que les zones de caisse dans un magasin.

Non-applicabilité : Pour tous les SAQ, ces exigences et toutes celles jugées non applicables à votre

environnement doivent être définies comme telles par la mention « s.o. » dans la colonne « Spécial » du

SAQ. Vous devez compléter la fiche d’explication de non-applicabilité dans l’annexe pour chaque entrée

« s.o. ».


Instructions pour compléter le questionnaire d’auto-évaluation

1. Utilisez les conseils fournis dans ce document pour déterminer le questionnaire approprié pour votre entreprise.

2. Consultez le document Navigation dans les normes PCI DSS : Comprendre l’objectif des exigences pour comprendre comment et pourquoi les exigences concernent votre entreprise.

3. Utilisez le questionnaire d’auto-évaluation approprié pour valider votre conformité avec les normes PCI DSS.

4. Suivez les instructions décrites dans le questionnaire d’auto-évaluation approprié au niveau de la section « Étapes de mise en conformité avec les normes PCI DSS », et fournissez tous les justificatifs requis à votre acquéreur ou votre marque de carte de paiement.


Questionnaire d’auto-évaluation/Instructions et directives—Quel est mon type de validation ?