Nous sommes tenus de devenir conformes à la norme PCI-DSS afin de pouvoir traiter les paiements des clients via notre site Web et au bureau. Notre réseau est composé d'un seul serveur SBS 2008 et de 10 postes de travail, tous connectés à un seul LAN sur un commutateur Dell. Le routeur Internet est un DrayTek 2820n.
Est-ce qu'il faudrait apporter des modifications à notre configuration réseau existante pour la rendre conforme à la norme PCI-DSS?
Externalisez-le. Sérieusement, si vous ne connaissez pas déjà la norme PCI, vous allez la détester d'ici à ce que vous la connaissiez. Dans un bureau aussi petit, il n'y a aucune justification à traiter les paiements en interne. Utilisez un prestataire externe (comme PayPal, votre banque pourrait également avoir des options). Obtenir la certification de votre réseau vous coûtera probablement un bras et une jambe. Utiliser un service externe vous coûtera un peu plus sur chaque transaction, mais le point mort se situera à des milliers de transactions (ou plus).
Oui, beaucoup de travail devra être fait. Tout d'abord, la liste des normes de sécurité est ici: https://www.pcisecuritystandards.org/security_standards/
Cette liste s'applique à tous les environnements de toutes tailles. La seule chose qui change en fonction du nombre de numéros de carte de crédit que vous traitez et que vous soyez ou non un prestataire de services pour d'autres magasins de détail est le niveau de vérification qui doit avoir lieu régulièrement.
Si vous n'avez jamais suivi le processus auparavant, et que votre environnement ne nécessite pas de vérification par un tiers, je recommande de passer au moins une vérification la première fois pour avoir l'assurance d'avoir suivi les directives indiquées dans les documents des normes de sécurité.
Dans la mesure du possible, je vous recommande vivement d'éviter les exigences de conformité PCI en utilisant un processeur de paiement tiers. La pleine conformité est une entreprise très coûteuse.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
