FRAMEWORK · PCI-DSS v4.0

PCI-DSS v4.0.
Pour ceux qui traitent des cartes.

Si votre entreprise traite, stocke ou transmet des données de cartes (TPE physiques, e-commerce, terminaux POS), PCI-DSS v4.0 est obligatoire. Itamite couvre les exigences techniques sur endpoints (Req. 5, 6, 7, 8, 10, 11.5) avec preuves signées pour votre QSA.

Voir tarifs Démo PCI-DSS

Niveaux PCI selon volume

Level 1 : > 6M transactions/an. Audit QSA annuel obligatoire + scan ASV trimestriel. Level 2 : 1-6M transactions. SAQ (Self Assessment Questionnaire) annuel + scan ASV trimestriel. Level 3 : 20K-1M e-commerce. SAQ annuel + scan ASV trimestriel. Level 4 : < 20K e-commerce ou < 1M total. SAQ annuel recommandé.

Amendes pour non-conformité : 5 000-100 000 USD/mois selon la banque acquéreuse. En cas de brèche : jusqu'à 500 000 USD par événement + possible exclusion du traitement de cartes.

EXIGENCES PCI ↔ ITAMITE

Mappage point par point

Req. 5 — Protection antimalware

Itamite vérifie en continu : AV installé et opérationnel (5.2.1), AV mis à jour <7 jours (5.2.2), AV scanne automatiquement (5.2.3), impossibilité de désactivation par l'utilisateur final (5.2.5). Compatible avec CrowdStrike, SentinelOne, Defender, Sophos, ESET, Kaspersky.

Req. 6 — Systèmes et applications sécurisés

Détection des correctifs critiques en attente (6.3.3), inventaire logiciel avec versions (6.2), alerte sur logiciels en fin de vie (EOL), vulnérabilités CVE connues sur logiciels détectés (6.2.4).

Req. 7 — Restriction d'accès par fonction

Détection des comptes administrateurs locaux et leur justification (7.2), politiques du moindre privilège (7.2.2), revue périodique des accès (7.2.4). Intégration avec AD/Azure AD pour la gestion centralisée.

Req. 8 — Identification et authentification

Politique de mots de passe (longueur, complexité, expiration — 8.3), MFA pour les accès administratifs (8.4), détection des comptes inactifs, compte Guest désactivé. Audit complet des connexions.

Req. 10 — Journalisation et surveillance

Audit immuable hash-chain de toute activité administrative (10.2), rétention minimale 1 an avec 3 mois immédiatement accessibles (10.5.1), synchronisation horaire NTP (10.6), revue quotidienne automatique des journaux (10.4.1).

Req. 11.5 — Détection des changements non autorisés

Itamite détecte les changements dans la configuration critique de chaque poste, alertant en cas de modifications non autorisées (11.5.2). Politiques déclaratives qui restaurent automatiquement les changements.

QUESTIONS FRÉQUENTES

Questions sur PCI-DSS

Itamite est-il conforme PCI-DSS ?
Itamite ne stocke PAS de données de cartes (PAN, CVV, etc.) en lui-même. Le périmètre PCI de la plateforme elle-même est donc limité. Stripe (notre processeur de paiement) est PCI-DSS Level 1. Votre utilisation d'Itamite n'élargit pas votre périmètre PCI tant que vous ne l'utilisez que pour la gestion IT.
Couvre-t-il le scan ASV trimestriel ?
Pas directement. Le scan ASV est un scan externe de vulnérabilités web réalisé par un Approved Scanning Vendor (Qualys, Tenable, Trustwave). Itamite est complémentaire : il couvre l'état interne des endpoints, pas le scan périmétrique.
Et pour des environnements avec TPE physiques ?
Particulièrement utile. Chaque terminal POS doit disposer de l'agent Itamite. Vérification continue : AV actif, correctifs à jour, configuration correcte, aucun logiciel non autorisé. Réduit drastiquement le risque de skimming/POS malware.
Le rapport Itamite est-il valable pour QSA ?
Oui, comme preuve technique des exigences couvertes. Le QSA effectuera néanmoins ses propres vérifications. Itamite réduit le temps d'audit en apportant des preuves préparées et signées.
De combien réduit-il le coût de l'audit QSA ?
Selon le QSA et le périmètre, typiquement 20-40% de réduction des heures facturables grâce à des preuves techniques préparées en format direct. Certains QSA recommandent déjà à leurs clients des outils comme Itamite pour fluidifier le processus.

Prochain audit PCI-DSS ?

Démo orientée à votre niveau PCI avec cas réel retail/e-commerce. Nous vous présentons le rapport technique pour QSA.

Voir tarifs Demander une démo