Audits et conformité à la norme de sécurité de l’industrie des cartes de paiement PCI DSS

Plus de 200 tests de 6 principes essentiels

La norme PCI DSS (www.pcisecuritystandards.org) implique une évaluation de plus de 200 tests appartenant à 12 catégories de sécurité générale représentant 6 principes essentiels. Ces tests PCI DSS s’étendent sur une vaste gamme de pratiques de sécurité courantes avec des technologies telles que le chiffrement, la gestion des clés et d’autres techniques de protection des données.

Risques associés aux audits et à la conformité à la norme PCI DSS

• Un manque de conformité à la norme PCI DSS peut entraîner des amendes, des frais supplémentaires, ou même une interruption de votre capacité à traiter les transactions par carte de paiement.
• La conformité à la norme PCI DSS ne peut pas être envisagée seule ; les organisations sont soumises à plusieurs mandats de sécurité et lois ou régulations de divulgation des fuites de données. D’un autre côté, les projets de conformité PCI peuvent facilement être écartés au profit d’initiatives de sécurité d’entreprise plus vastes.
• Les conseils et recommandations associés aux exigences PCI DSS incluent des pratiques courantes qui sont probablement déjà mises en place. Cependant, l’organisation peut méconnaître certains aspects, notamment ceux liés au chiffrement, et, si elles ne sont pas effectuées correctement, les mises en place de systèmes peuvent s’avérer préjudiciables et avoir un impact négatif sur l’efficacité opérationnelle.
• Il est bien trop facile d’obtenir une approche de sécurité fragmentée reposant sur plusieurs solutions de différents fournisseurs et des technologies inadéquates, coûteuses et complexes à utiliser.
• Il est possible de réduire la portée des exigences de conformité à la norme PCI DSS et ainsi les coûts et l’impact associés ; cependant, les organisations peuvent perdre du temps et de l’argent si elles ne prennent pas la précaution de s’assurer que les nouveaux systèmes et processus seront considérés conformes à la norme PCI DSS.

Une solution de conformité intégrée

Forte de décennies d’expérience à aider les banques et les institutions financières à se conformer aux mandats de l’industrie, Thales offre des produits et des services intégrés qui permettent à votre organisation de protéger les données de carte de paiement, de les chiffrer pour les transferts et de limiter l’accès selon le besoin. De plus, Thales travaille en étroite collaboration avec des partenaires pour offrir des solutions complètes pouvant réduire l’étendue du fardeau de conformité à la norme.

Satisfaire les principes essentiels de la norme PCI DSS

Thales offre des solutions logicielles de conformité PCI DSS complètes qui aident les organisations à s’attaquer aux 6 principes essentiels de la norme PCI DSS :

• Protection des données de carte de paiement au repos : CipherTrust Manager et les HSM Luna de Thales aident les organisations à gérer de manière centralisée les clés de chiffrement et une variété de solutions de chiffrement, de tokénisation et de masquage de données pour protéger les données de carte de paiement dans les fichiers, les dossiers, les applications et les bases de données dans des environnements traditionnels et cloud ou virtualisés.
• Chiffrement des données de carte de paiement en transit : les dispositifs de chiffrement à haut débit de Thales chiffrent toutes les données qui traversent les réseaux ouverts entre les appareils de point de vente et les systèmes chargés du traitement des données de carte de paiement.
• Développement et entretien de la sécurité des systèmes et des applications : les HSM Luna de Thales permettent aux organisations de stocker en toute sécurité le matériel de signature dans un dispositif matériel de confiance, garantissant ainsi l’authenticité et l’intégrité de tous les fichiers de code d’application.
• Mise en place de mesures de contrôle d’accès robustes : les produits CipherTrust de Thales peuvent être configurés pour offrir un accès administrateur multi-facteurs unique aux systèmes chargés du stockage des données de carte de paiement. En outre, grâce à SafeNet Trusted Access, vous pouvez gérer de manière centralisée les identités utilisateur uniques et les politiques d’authentification basées sur les risques, et également ajouter/révoquer l’accès aux systèmes dans votre environnement de données de carte de paiement.
• Suivi et surveillance de tous les accès aux données de carte de paiement : tous les produits dans le portefeuille de protection des données CipherTrust de Thales vérifie les enregistrements qui répertorient toutes les opérations du cycle de vie des clés de chiffrement (création/suppression/rotation/révocation) et les autres fonctions administratives pouvant servir à reconstruire les événements.