Bonjour à tous, La certification PCI/DSS hébergeur existe bel et bien. Elle facilite le travail de ceux qui souhaitent certifier leur application, car les mesures pris en charge par l'hébergeur ne sont plus à considérer côté application. Elle simplifie aussi l'audit, car les points déjà audités côté hébergeur ne seront pas réaudités pour la certification de l'application : il sont considérés comme acquis et sont contrôlés indépendamment.
D'où l'importance du périmètre de couverture : plus l'hébergeur en prend à sa charge moins il en restera au client final. Aucun hébergeur ne peut prendre 100% des mesures à son compte, certaines seront inévitablement laissées à l'application. Mais entre un hébergeur qui ne répond qu'à la condition 9 (accès physique) et un qui maximise le nombre de mesures prise en compte les différence sont importantes. Bon weekend, Yannick > Le 19 déc. 2015 à 02:07, Guiot Jp <j...@guiot.name> a écrit : > > Bonjour, > > Généralement, le PCI-DSS n'est pas un hébergement livré "clef en main", mais > relève bien d'une mise en oeuvre effectuée "main dans la main" avec le > client. De part les contraintes imposées par ce type d'hébergement > (environnements dédiés, contraintes d'accès (personnes physiques identifiées, > 2 factor auth global, ...), patch management en association avec la prod, > scan wifi réguliers, patch management des OS/Softwares, hardening, ...) et > les contraintes imposées par le standard en lui même : documentation > techniques tenue à jours en corrélation directe avec les documentations du > client en terme organisationnelles, workflow de gestion des demandes > d'évolutions (ouvertures de flux, modification topologiques, ...) avec > donneurs d'ordres/testeurs identifiés distincts de ceux qui "mettent en > oeuvre" et outils de ticketing "commun", etc. > > Mon propos vise donc à te dire de plutôt rechercher un hébergeur/infogéreur > connaissant les contraintes PCI-DSS et qui sait ce que c'est de passer la > certif et de le renouveller chaques années pouvant aller ainsi au dela du > "simple hébergement", plutôt que de trouver un "hébergeur certifié", qui > n'existe à ma connaissance pas (de fait!). > > Jean-Philippe > > Envoyé de mon iPhone > >> Le 19 déc. 2015 à 00:23, Eric ROLLAND <roll...@artefact.fr> a écrit : >> >> Bonjour la liste, >> Nous recherchons (pour un client) un prestataire hébergement certifié >> PCI-DSS. >> Merci de vos retours en MP pour communication du CCTP. >> Bonnes fêtes à toutes et tous, >> Cordialement, >> Eric ROLLAND >> AS42929 - RE515-RIPE >> >> ------------------------------------------------------------------------ >> *Artefact communication interactive* | Bat. Artechnopole - 3 rue des >> Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 >> SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | >> TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 >> Info réseau : @NocArtefact <https://twitter.com/NocArtefact> - NOC >> Artewan <https://noc.artewan.net/> >> >> *artefact >> *Communication Interactive >> www.artefact.fr <http://www.artefact.fr> *artewan* >> Opérateur de réseaux et de services >> www.artewan.fr <http://www.artewan.fr> *arteone* >> Datacenter, Informatique & Services IT >> www.arteone.fr <http://www.arteone.fr> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
