La conformité PCI DSS est le processus consistant à satisfaire à la norme de sécurité des données de l'industrie des cartes de paiement - actuellement la v4.0.1 - afin de protéger les données des titulaires de cartes sur chaque système qui les stocke, les traite ou les transmet. CyberXplore est un cabinet de conseil en sécurité (et non un QSA ni un organisme de certification) qui prépare les organisations à l'audit grâce à une analyse d'écarts pilotée par des consultants seniors, à la définition du périmètre de l'environnement de données des titulaires de cartes (CDE), à la validation de la segmentation et aux tests d'intrusion manuels exigés par l'Exigence 11 de la norme. Nous rattachons vos obligations au bon SAQ ou ROC, constituons les preuves attendues par votre évaluateur et coordonnons les scans ASV trimestriels via des partenaires agréés PCI.
PCI DSS v4.0PCI SSCOWASPPTESNIST
Pourquoi CyberXplore
Des testeurs exclusivement seniors (OSCP, CRTP, CREST)
Certifié ISO 27001 & ISO 9001
Retest gratuit + lettre d'attestation
Périmètre et devis sur mesure sous 24 heures
Pourquoi c'est important
La non-conformité entraîne des amendes de la banque acquéreuse, des frais de transaction plus élevés et - après une violation - la perte pure et simple de votre capacité à accepter les paiements par carte.
PCI DSS v4.0 a introduit des exigences à échéance différée devenues obligatoires le 31 mars 2025, notamment des analyses de risque ciblées, une authentification renforcée et une définition de périmètre plus stricte qui prennent de nombreux commerçants au dépourvu.
Une mauvaise délimitation de l'environnement de données des titulaires de cartes est l'erreur la plus courante et la plus coûteuse - trop restreinte, vous échouez à l'évaluation ; trop large, vous surinvestissez dans des contrôles pour des systèmes qui ne touchent jamais aux données de carte.
L'Exigence 11 impose des tests d'intrusion internes et externes ainsi que des tests de segmentation ; des tests faibles ou " pour cocher la case " laissent de vraies voies exploitables vers le CDE qu'un évaluateur - ou un attaquant - finira par trouver.
Aligné sur les normes du secteur: PCI DSS v4.0 · PCI SSC · OWASP · PTES · NIST
Notre méthodologie
01
Définition du périmètre et analyse d'écarts
Nous confirmons votre niveau de commerçant, déterminons si vous avez besoin d'un SAQ (et lequel) ou d'un Rapport de conformité complet, puis cartographions l'environnement de données des titulaires de cartes - chaque système, flux et composant connecté qui stocke, traite ou transmet des données de carte - et l'évaluons au regard des 12 exigences de PCI DSS v4.0.
02
Revue de la segmentation
Nous validons la segmentation réseau qui isole votre CDE du reste du réseau d'entreprise, identifions les risques liés aux réseaux à plat et réduisons le périmètre d'évaluation (et son coût) en confirmant que les systèmes hors périmètre sont réellement isolés.
03
Tests d'intrusion Exigence 11
Nos testeurs qualifiés OSCP et CREST réalisent les tests d'intrusion internes et externes requis par l'Exigence 11.4, ainsi que les tests d'intrusion de segmentation (11.4.5) pour prouver que les contrôles d'isolation ne peuvent être contournés - le tout réalisé manuellement, pas seulement par scan.
04
Scans ASV et gestion des vulnérabilités
Nous coordonnons les scans de vulnérabilités externes trimestriels requis par l'Exigence 11.3.2 via un partenaire Approved Scanning Vendor du PCI SSC, vous aidons à interpréter les résultats et mettons en place un cycle durable de remédiation et de rescan.
05
Preuves, remédiation et accompagnement à l'audit
Nous compilons les politiques, configurations, analyses de risque ciblées et résultats de tests exigés par votre QSA ou votre acquéreur, guidons la remédiation de chaque écart et vous accompagnons tout au long de l'attestation SAQ ou de l'évaluation ROC menée par un QSA.
Ce que nous testons
Découverte de l'environnement de données des titulaires de cartes (CDE), cartographie des flux de données et définition du périmètre
Détermination du niveau de commerçant/prestataire et choix du parcours SAQ ou ROC
Analyse d'écarts au regard des 12 exigences de PCI DSS v4.0 (approche définie et personnalisée)
Revue de la segmentation réseau et tests d'intrusion de segmentation (Exig. 11.4.5)
Tests d'intrusion internes et externes selon l'Exigence 11.4
Coordination des scans ASV externes trimestriels (Exig. 11.3.2) via un fournisseur agréé
Scans de vulnérabilités internes et revue de configuration authentifiée (Exig. 11.3.1)
Analyses de risque ciblées, revue de la configuration sécurisée, de la journalisation et du contrôle d'accès
Préparation des politiques, procédures et du dossier de preuves en vue de l'évaluation
Vérification de préparation pré-évaluation et accompagnement dans les relations avec le QSA / l'acquéreur
Ce que vous obtenez
Document de définition du périmètre CDE avec diagrammes annotés des flux de données de carte
Rapport d'analyse d'écarts hiérarchisé, rattaché à chaque exigence de PCI DSS v4.0
Rapport de tests d'intrusion Exigence 11 avec constats, preuves et niveaux de gravité CVSS
Résultats des tests de segmentation confirmant l'isolation du CDE
Feuille de route de remédiation avec des recommandations exploitables par les développeurs et ingénieurs
Nouveau test de remédiation gratuit et lettre d'attestation de test d'intrusion
Dossier de preuves prêt pour l'audit à l'appui de votre SAQ ou de votre ROC mené par un QSA
Exemple de livrable
Ce que vous verrez dans votre rapport
Chaque mission se conclut par un rapport clair et priorisé : des constats classés par sévérité avec scores CVSS, actifs concernés et statut de remédiation - plus un retest gratuit. Les chiffres ci-dessous sont donnés à titre d'illustration.
Constats par sévérité
14 total
Critical
0
High
4
Medium
6
Low
4
High · CVSS 7.6CX-1602
MFA not enforced for all CDE admin access
PCI 8.4.2Cardholder Data EnvironmentOpen
High · CVSS 7.4CX-1608
PAN not rendered unreadable at rest
PCI 3.5.1Payments databaseOpen
Exemple illustratif : pci dss gap assessment - anonymisé sur example.com.
Medium · CVSS 5.5CX-1614
Audit logs not reviewed daily
PCI 10.4.1CDE systemsOpen
Vous souhaitez le rapport d'exemple anonymisé complet ? Nous l'incluons avec votre devis.
Chiffres cumulés sur l'ensemble des missions menées par notre équipe
Partagé sous NDA · détails anonymisés
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certifications détenues par nos testeurs
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Questions fréquentes
Non - nous sommes un cabinet de conseil en sécurité, et non un Qualified Security Assessor ni un organisme de certification. Nous vous préparons à l'audit : nous réalisons l'analyse d'écarts, la revue de segmentation et les tests d'intrusion de l'Exigence 11, et préparons vos preuves afin que votre auto-évaluation (SAQ) ou votre Rapport de conformité (ROC) mené par un QSA se déroule sans accroc. Pour les scans ASV, nous collaborons avec un Approved Scanning Vendor du PCI SSC.
Abordez votre prochain audit avec des preuves, pas des promesses.
Indiquez-nous votre référentiel et vos délais - nous cadrons votre plan de préparation en 24 heures, de l'analyse des écarts aux preuves prêtes pour l'auditeur.