ISO 27001
La norme internationale ISO 27001 dresse les exigences permettant d’établir un système de management de la sécurité de l’information (SMSI). Elle s’adresse à tout type d’organisation qui souhaite gagner et conserver la confiance à ses parties intéressées quant à la gestion de sa sécurité de l’information. Un tel système requiert d’établir des objectifs de sécurité, de mettre en œuvre les moyens pour les atteindre, de mesurer l’efficacité de ces moyens dans l’atteinte des objectifs, et de les améliorer en permanence.
Il constitue une garantie que les objectifs de sécurité ne sont pas de simples promesses, mais que tout est mis en œuvre pour les atteindre.
La certification à l’ISO 27001 nécessite un audit par un organisme de certification indépendant, qui vérifie chaque année la conformité du SMSI à la norme ISO 27001 et son efficacité pour atteindre les objectifs de sécurité. Un certificat est émis pour une durée de trois ans, puis renouvelé tous les trois ans. Des audits sont conduits chaque année pour vérifier la bonne santé du SMSI.
PCI DSS
L’industrie des cartes de paiement impose à tous les acteurs qui traitent, transmettent ou stockent des cartes de paiement, d’être conformes à PCI DSS. Cette norme précise un ensemble de mesures de sécurité organisationnelles et techniques qui doivent être mises en œuvre sur tout le périmètre de machines qui peuvent impacter la sécurité des données de carte de paiement. PCI DSS couvre ainsi les domaines de la sécurité des réseaux, du chiffrement des cartes, de la gestion des vulnérabilités et du développement sécurisé, du contrôle d’accès, de la supervision et des tests de sécurité.
C’est le nombre de transactions de carte qui détermine de quelle manière la conformité à PCI DSS est évaluée. Pour KDS, l’évaluation de conformité à PCI DSS nécessite un audit par un Qualified Security Assessor qui rédige un rapport sur la conformité de KDS, et produit une attestation de conformité chaque année.