Des analyses de vulnérabilité sont nécessaires au moins une fois tous les trois mois et après un changement majeur. Qu’entend-on par « changement majeur » dans la norme PCI DSS ?

Changement majeur selon la norme PCI DSS

La définition d'un changement majeur dépend fortement de la configuration de votre environnement.

Toutefois, ces activités sont considérées comme un « changement majeur » par le PCI Council :

• Nouveau matériel, logiciel ou équipement de réseau ajouté au CDE.
• Tout remplacement ou toute mise à niveau majeure du matériel et des logiciels dans le CDE.
• Tout changement dans le flux ou le stockage des données de compte.
• Toute modification du périmètre du CDE et/ou du champ d'application de l'évaluation PCI DSS.
• Toute modification de l'infrastructure sous-jacente du CDE (y compris, mais sans s'y limiter, les modifications apportées aux services d'annuaire, aux serveurs de temps, à la journalisation et à la surveillance).
• Toute modification apportée aux fournisseurs/prestataires de services tiers (ou aux services fournis) qui appuient le CDE ou répondent aux exigences PCI DSS pour le compte de l'entité.

Chacune de ces activités a, au minimum, un impact potentiel sur la sécurité de l'environnement des données des titulaires de cartes (CDE) d'une entité et doit être prise en compte et évaluée afin de déterminer si un changement peut être considéré comme majeur au regard des exigences de la norme PCI DSS.