Note de cadrage du CDE
Cartographie écrite de l'environnement de données de porteurs de carte : chaque système qui stocke/traite/transmet le PAN, chaque système connecté, chaque justification de mise hors périmètre. Décision d'éligibilité au SAQ et changements d'architecture qui vous font descendre l'échelle des SAQ.
Réseau & segmentation
Standards de pare-feu Req 1, durcissement Req 2, VPC/sous-réseaux dédiés au CDE avec flux entrants/sortants documentés, hôte rebond avec MFA, tests de segmentation selon la Req 11.4.5 (annuels pour les commerçants, tous les 6 mois pour les prestataires de services).
Chiffrement & gestion des clés
Stockage du PAN selon la Req 3 avec cryptographie forte (AES-256, validée FIPS 140-2/3), transmission Req 4 en TLS 1.2+ avec algorithmes robustes, cycle de vie des clés selon la Req 3.7, connaissance partagée et double contrôle pour les dépositaires de clés, chiffrement d'enveloppe adossé à un KMS.
Développement sécurisé
SDLC sécurisé Req 6 : modélisation des menaces, formation au codage sécurisé, revue de code, intégration SAST/DAST, analyse des dépendances, processus de gestion des changements, tests OWASP Top 10 et les contrôles d'intégrité des scripts côté web de la v4.0.1 (Req 6.4.3 + 11.6.1).
Journalisation & supervision
Journalisation d'audit Req 10 avec la revue automatisée des journaux v4.0.1 (Req 10.4.1.1), rétention d'un an (3 mois immédiatement accessibles), FIM (Req 11.5), IDS/IPS (Req 11.5.1), surveillance de l'intégrité des fichiers et le flux d'alerte vers l'astreinte.
Opérations SAQ / RoC
Complétion du SAQ (A, A-EP, B, B-IP, C, C-VT, D, P2PE) ou accompagnement RoC, signature de l'AOC, liaison QSA, supervision des scans ASV trimestriels (Req 11.3.2), test d'intrusion annuel (Req 11.4.3), analyses de risque ciblées pour chaque approche personnalisée v4.0.1.