La norme a ¨¦t¨¦ r¨¦cemment retir¨¦e et remplac¨¦e par la le 1er avril 2024. Cette nouvelle version apporte des changements importants que tous les commer?ants et prestataires de services traitant des donn¨¦es de cartes de paiement doivent conna?tre et pr¨¦voir afin de respecter les obligations de conformit¨¦.
Bon nombre des nouvelles exigences constituent de bonnes pratiques jusqu¡¯au 31 mars 2025, mais le message est clair : commencez ¨¤ planifier d¨¨s maintenant pour vous assurer que toutes les exigences sont mises en ?uvre et respect¨¦es avant que les exigences futures n¡¯entrent en vigueur.
Qu¡¯est-ce que la norme PCI DSS?
PCI DSS est une norme mondiale ¨¦labor¨¦e par les syst¨¨mes de cartes (Visa, Mastercard, etc.) en collaboration avec un groupe d¡¯experts du secteur pour garantir la s¨¦curit¨¦ des paiements par carte. L¡¯ensemble des contr?les de s¨¦curit¨¦ couvre les aspects fondamentaux de la s¨¦curit¨¦ de l¡¯information et s¡¯¨¦tend aux personnes, aux processus et aux technologies impliqu¨¦s dans les syst¨¨mes de traitement des cartes de paiement.
Toute entit¨¦ qui stocke, traite ou transmet des donn¨¦es de cartes de paiement a l¡¯obligation de se conformer ¨¤ la norme PCI DSS. La norme s¡¯applique ¨¦galement aux entit¨¦s qui peuvent avoir un impact sur la s¨¦curit¨¦ d¡¯un environnement de traitement des cartes de cr¨¦dit, comme les fournisseurs de services en nuage, les passerelles de paiement et les fournisseurs de services g¨¦r¨¦s.
Quel est l¡¯objet de la v4.0?
La norme vise ¨¤ r¨¦pondre aux nouveaux risques et aux nouvelles m¨¦thodes d¡¯attaque issus des nouvelles technologies utilis¨¦es dans les syst¨¨mes de paiement. Les mises ¨¤ jour :
- Offrent une plus grande flexibilit¨¦ en utilisant diff¨¦rentes m¨¦thodes pour atteindre les objectifs de s¨¦curit¨¦.
- R¨¦pondent aux besoins de s¨¦curit¨¦ en fonction de l¡¯¨¦volution des menaces.
- Font la promotion de la s¨¦curit¨¦ comme un service continu.
- Incluent des m¨¦thodes et des proc¨¦dures am¨¦lior¨¦es de validation de la conformit¨¦.
Voici quelques mises ¨¤ jour importantes de la v4.0 ¨¤ conna?tre :
- Une approche personnalis¨¦e : Une nouvelle m¨¦thode de rapports pour tester et valider les exigences en fonction des objectifs de s¨¦curit¨¦ plut?t que des contr?les normatifs.
- R?les et responsabilit¨¦s : D¨¦finis pour chaque exigence afin de promouvoir la s¨¦curit¨¦ en tant que processus continu, en veillant ¨¤ ce que les t?ches soient attribu¨¦es et g¨¦r¨¦es efficacement.
- Documentation sur le champ d¡¯application : Toujours requis dans les versions pr¨¦c¨¦dentes pour soutenir les ¨¦valuations, des artefacts d¨¦taill¨¦s sont d¨¦sormais requis et examin¨¦s chaque ann¨¦e pour les commer?ants et deux fois par an pour les prestataires de services.
- Analyse cibl¨¦e des risques : D¨¦finit la fr¨¦quence de certaines activit¨¦s de mise en conformit¨¦ en fonction du niveau de risque pour les comptes de logiciels malveillants, d¡¯applications et de syst¨¨mes; les inspections des IOP; les examens des journaux; la gestion des vuln¨¦rabilit¨¦s; et la v¨¦rification de l¡¯int¨¦grit¨¦ des pages de paiement.
- Exigences plus strictes en mati¨¨re d¡¯authentification multifacteurs (AMF) : L¡¯AMF sera exig¨¦e pour tout acc¨¨s ¨¤ l¡¯environnement des donn¨¦es du titulaire de la carte, et pas seulement pour l¡¯acc¨¨s administratif. Cela am¨¦liore la s¨¦curit¨¦ contre un ¨¦ventuel acc¨¨s non autoris¨¦.
- Nouvelles exigences en mati¨¨re de commerce ¨¦lectronique et d¡¯hame?onnage pour faire face aux menaces actuelles : Contr?le de l¡¯int¨¦grit¨¦ des scripts des pages de paiement et ? devoir de diligence ? des syst¨¨mes de courriel.
- Meilleure gestion du cryptage et des cl¨¦s : Exige l¡¯utilisation de cl¨¦s cryptographiques fortes, de hachages verrouill¨¦s pour le PAN stock¨¦, d¡¯inventaires et de proc¨¦dures distinctes de gestion des cl¨¦s.
- Am¨¦lioration de la consignation et de la surveillance : Consignation plus ¨¦tendue des activit¨¦s, des acc¨¨s et des alertes dans les diff¨¦rents environnements. Automatisation de l¡¯examen des journaux pour une meilleure d¨¦tection des anomalies et des activit¨¦s suspectes.
- Am¨¦lioration de la s¨¦curit¨¦ de l¡¯IAM et des mots de passe : Des exigences et des politiques plus strictes en mati¨¨re de mots de passe afin de se prot¨¦ger contre les attaques par force brute. Examiner et se concentrer sur les comptes de syst¨¨me et d¡¯application, en particulier ceux qui disposent d¡¯une capacit¨¦ de connexion interactive.
- Analyses de vuln¨¦rabilit¨¦ internes authentifi¨¦es : La planification et la d¨¦limitation du champ d¡¯application sont n¨¦cessaires pour s¡¯assurer que toute d¨¦couverte suppl¨¦mentaire peut ¨ºtre corrig¨¦e ¨¤ temps pour l¡¯¨¦valuation.
- Gestion de la vuln¨¦rabilit¨¦ : Rem¨¦diation aux vuln¨¦rabilit¨¦s, et pas seulement ¨¤ celles class¨¦es comme critiques ou ¨¦lev¨¦es.
- R¨¦ponse aux incidents : D¨¦tection inattendue de PAN, modifications de la page de paiement, etc.
Ces mises ¨¤ jour adoptent une approche plus centr¨¦e sur les donn¨¦es afin de prot¨¦ger les donn¨¦es sensibles des titulaires de cartes. Pour les commer?ants et les fournisseurs de services, cela signifie que la nouvelle norme n¨¦cessitera une planification, des solutions techniques, des ressources et un budget suppl¨¦mentaires pour se mettre en conformit¨¦.
Engagement envers la s¨¦curit¨¦
L¡¯adoption de la norme PCI DSS v4.0 t¨¦moigne d¡¯un engagement continu en faveur de la s¨¦curit¨¦ des donn¨¦es. En effectuant la transition et en respectant les normes industrielles actualis¨¦es, vous conservez la confiance de vos clients et vous respectez les obligations applicables.
Le fait de donner la priorit¨¦ ¨¤ la protection des cartes de paiement r¨¦duit ¨¦galement le risque de dommages financiers et d¡¯atteinte ¨¤ la r¨¦putation r¨¦sultant de violations potentielles et d¡¯amendes pour non-conformit¨¦. Il est ¨¦galement important de confirmer les proc¨¦dures de validation et d¡¯attestation, qui peuvent inclure la soumission de nouveaux questionnaires ou la r¨¦vision des politiques et proc¨¦dures internes.
°Õ¨¦±ô¨¦³¦³ó²¹°ù²µ±ð³ú . Pour en savoir plus, consultez le mat¨¦riel de nos experts en mati¨¨re de confiance num¨¦rique ? Cadre de cybers¨¦curit¨¦ du NIST : nouveaut¨¦s de la version v2.0 ? par John Kociak et ? Se d¨¦fendre contre le c?t¨¦ obscur de l¡¯IA ? par Terry Minford.
Visitez le Coin des experts de BSI pour obtenir plus d¡¯informations de la part des experts de l¡¯industrie. Abonnez-vous ¨¤ nos infolettres LinkedIn, ? Experts Corner-2-Go ?, pour obtenir un aper?u du plus r¨¦cent contenu relatif au leadership ¨¦clair¨¦ : , , .
