AVIS D’EXPERT – Les organisations qui stockent, traitent ou transmettent les données des titulaires de carte de paiement sont soumises au cadre de conformité connu sous le nom de PCI-DSS (Payment Card Industry Data Security Standard). Il aide à protéger les titulaires de cartes de paiement et les entreprises traitant leurs données contre les cyberattaques et les fuites des données. Le 31 mars 2022, le Conseil des normes de sécurité PCI (PCI SSC) a publié la version 4.0 de son PCI DSS. Le point avec Darren James, Head of Internal IT chez Specops Software.
Qu’est-ce que la norme PCI DSS ?
Le cadre de conformité du PCI DSS est incontournable dans le domaine de la cybersécurité pour les entreprises traitant des transactions par carte de crédit. Le Payment Card Industry Data Security Standard (PCI DSS) a été créé pour améliorer la sécurité des données des comptes de cartes de paiement. Il aide à définir des mesures de sécurité cohérentes pour renforcer la sécurité, le traitement et le stockage des données des cartes de paiement. PCI DSS n’est pas une institution créée par un gouvernement, mais plutôt le fruit d’une collaboration entre les principales sociétés de cartes de crédit qui forment le Conseil des normes de sécurité PCI. Cependant, l’application de la norme PCI DSS est en partie régulée par la Federal Trade Commission (FTC).
Le PCI DSS établit des exigences de sécurité fondamentales destinées à améliorer et à protéger la sécurité des paiements. Il s’agit notamment des éléments suivants :
- Installer et maintenir les contrôles de sécurité du réseau ;
- Appliquer des configurations sécurisées à tous les composants du système ;
- Protégez les données de compte stockées ;
- Protégez les données des titulaires de carte avec une cryptographie solide lors de transmissions sur des réseaux publics ouverts ;
- Protégez tous les systèmes et réseaux contre les logiciels malveillants ;
- Développer et maintenir des systèmes et des logiciels sécurisés ;
- Restreindre l’accès aux composants du système et aux données des titulaires de carte ;
- Identifier les utilisateurs et authentifier l’accès aux composants du système ;
- Restreindre l’accès physique aux données des titulaires de carte ;
- Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de cartes ;
- Tester régulièrement la sécurité des systèmes et des réseaux ;
- Soutenir la sécurité de l’information avec des politiques et des programmes organisationnels.
En outre, il convient de noter que la norme PCI DSS établit une base minimale d’exigences techniques et opérationnelles pour les organisations afin de protéger les données de compte et les aider à prévenir les fuites de données ou autres cyberattaques – pouvant compromettre le flux de des systèmes de paiement. Ces mesures ne constituent donc pas une fin en soi. Des mesures de sécurité supplémentaires, en parallèle des directives établies par le PCI DSS – peuvent améliorer la sécurité des données des titulaires de carte.
Les sanctions du PCI DSS
Existe-t-il des sanctions en cas de non-conformité aux recommandations du PCI DSS ? Le cadre établi par le PCI peut entraîner des amendes réelles pour les entreprises tenues de s’y conformer qui ne le feraient pas.
Ces amendes peuvent aller de 5 000 $ à 100 000 $ par mois. En outre, d’autres pénalités et conséquences peuvent affecter les entreprises sur le plan monétaire, telles que des frais de transaction bancaire plus élevés voire la résiliation de la relation avec la banque.
Qui doit se conformer au PCI DSS ?
Certaines organisations spécifiques relèvent directement du PCI DSS. Par exemple, les exigences PCI DSS s’appliquent aux entités ayant des environnements dans lesquels les données des titulaires de carte sont stockées, traitées ou transmises. Elles concernent également les entités ayant des environnements qui peuvent avoir un impact sur la sécurité des données des titulaires de cartes (CDE).
Il est essentiel de comprendre qu’il existe des cas où les exigences du PCI DSS s’appliquent à des organisations autres que celles qui stockent, traitent ou transmettent les données de compte. Par exemple, les organisations qui externalisent les opérations de paiement ou celles qui gèrent leur CDE sont toujours tenues de se conformer à certaines exigences du PCI DSS.
Quoi de neuf dans la version 4.0 du PCI DSS ?
Il faut noter que les 12 concepts principaux du PCI DSS n’ont pas changé avec sa nouvelle version 4.0. Ces normes fondamentales sont les piliers de ce programme et concernent toujours les organisations qui doivent se conformer aux exigences du PCI DSS. PCI DSS v 4.0 repose sur le concept de zéro confiance (zero trust), qui est de plus en plus reconnu comme la meilleure pratique à adopter. Cependant, avec PCI DSS v 4.0 il existe une nouvelle option intéressante pour les organisations qui respectent les réglementations PCI DSS : l’approche personnalisée afin de satisfaire aux exigences du PCI. Les organisations peuvent désormais choisir entre l’approche définie et l’approche personnalisée.
Avec l’approche personnalisée, les entreprises peuvent concevoir leurs propres contrôles et normes de sécurité pour satisfaire aux exigences du PCI DSS v 4.0
Avec l’approche personnalisée, les entreprises peuvent concevoir leurs propres contrôles et normes de sécurité pour satisfaire aux exigences du PCI DSS v 4.0 et même modifier les procédures de mise en œuvre afin de répondre aux besoins énoncés. En outre, elle permet aux entreprises de démontrer la façon dont elles répondent chaque exigence du PCI DSS. Les entreprises peuvent utiliser de nouvelles approches de sécurité – différentes de celles décrites par les exigences PCI traditionnelles – ce qui constitue un moyen alternatif de répondre aux exigences du cadre PCI DSS.
Il convient de noter que lors de l’utilisation de l’approche personnalisée, un évaluateur de sécurité qualifié (QSA) doit examiner et déterminer si les contrôles personnalisés définis par le client sont acceptables afin d’être en conformité avec les exigences décrites. Cependant, cela apporte des avantages pour le client et la possibilité de vérifier le respect des exigences de manière satisfaisante.
L’approche définie avec le PCI-DSS 4.0 reste relativement inchangée par rapport aux versions précédentes. Il s’agit d’une déclaration de contrôle détaillée et des tests connexes que le QSA doit effectuer pour confirmer que le contrôle est en place. Les contrôles de compensation sont toujours une option intéressante et peuvent être utilisés en cas de besoin. L’approche définie est idéale pour les organisations qui en sont aux premières étapes de leurs initiatives de cybersécurité et de conformité, qui ont des contraintes budgétaires ou qui ont déjà mis en place des contrôles compensatoires conformes aux exigences du PCI-DSS.
Le PCI DSS v4.0 a augmenté le niveau de protection des identités numériques. De nombreux processeurs et entités de services de paiement et de services de paiement étant passés à l’informatique en Cloud, des contrôles de sécurité et de compensation plus robustes sont nécessaires pour sécuriser les mécanismes d’authentification. Les nouvelles exigences, ainsi décrites, s’alignent plus étroitement sur les meilleures pratiques du NIST pour les comptes.
Il y aura une période de transition entre PCI DSS v 3.2.1 et la nouvelle version v 4.0. Les organisations devront l’avoir pleinement adoptée d’ici le 31 mars 2025. Cependant, il serait prudent pour les entreprises de commencer dès à présent à effectuer les transitions nécessaires afin d’être prêtes et conformes en 2025.
Avec le PCI DSS v4.0, les ajouts suivants ont été effectués :
- Alors que le mot de passe minimum pour les comptes d’utilisateurs généraux a été défini à 12 caractères, pour les comptes de service utilisés par les applications, les services et les systèmes, la recommandation est d’un mot de passe avec au moins 15 caractères pour les exigences de complexité – avec des caractères alphanumériques et une vérification systématique que le mot de passe choisi ne figure pas sur une liste de mots de passe compromis connue.
- Les organisations doivent aller plus loin que les valeurs par défaut des fournisseurs et réfléchir davantage aux configurations sécurisées à tous les niveaux.
- L’authentification multifacteur (MFA) est requise pour tous les comptes qui ont accès aux environnements de données de titulaires de carte PCI dans le champ d’application.
- Les entreprises doivent revoir les privilèges d’accès au moins tous les 6 mois.
- Les comptes tiers ne doivent être activés que lorsqu’ils sont nécessaires à l’utilisation et désactivés dans le cas contraire. Une surveillance spécifique est nécessaire pour ces comptes tiers.
- Lorsqu’un 2e facteur d’identification est requis, cette exigence d’expiration spécifique a été supprimée.
Les ressources officielles concernant le PCI DSS v 4.0
–Norme de sécurité des données de l’industrie des cartes de paiement (pcisecuritystandards.org)
–Norme de sécurité des données (pcisecuritystandards.org)