EBRC and PCI-DSS

PCI DSS for Service Providers

EBRC réalise une évaluation PCI DSS annuelle en utilisant un évaluateur qualifié approuvé (QSA) en matière de sécurité. L’auditeur contrôle l’environnement d’EBRC qui inclut la validation de l’infrastructure, du développement, des opérations, de la gestion, du support et des services dans le périmètre.  EBRC est certifiée compatible aux termes de PCI DSS version 3.2.1, fournisseur de services Niveau 1.

Cette évaluation a abouti à une attestation de conformité (AoC) et à un rapport de conformité (RoC) publié par l’évaluateur QSA. La période d’effet pour la conformité commence au passage de l’audit et à la réception de l’attestation AoC de l’évaluateur, et elle se termine un an après la date de signature de l’attestation AoC par ce dernier. L’attestation AoC prouve aux clients que l’évaluateur QSA a déterminé qu’EBRC est conforme à la norme PCI DSS v3.2.1.

Les clients qui veulent développer un environnement de titulaire de cartes ou un service de traitement de cartes peuvent tirer profit de la validation d’EBRC dans nombre des parties sous-jacentes, réduisant ainsi l’effort et les coûts associés à l’acquisition de leur propre certification PCI DSS.

Il est cependant important de comprendre que le statut de conformité PCI DSS d’EBRC ne se traduit pas automatiquement par une certification PCI DSS pour les services que les clients développent ou hébergent sur la plateforme EBRC. Les clients sont responsables de s’assurer de se conformer aux exigences PCI DSS. Le guide PCI client d’EBRC spécifie les domaines de responsabilité pour chaque exigence PCI DSS et si l’assignation concerne EBRC ou le client, ou bien si la responsabilité est partagée.