Exigences de la norme PCI DSS 4.0
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité de l’information qui fournit une base d’exigences techniques et opérationnelles destinées à protéger les données de paiement et à réduire la fraude par carte de crédit. Elle s’adresse à toutes les entités qui stockent, traitent ou transmettent des données relatives aux titulaires de cartes (CHD) et/ou des données d’authentification sensibles (SAD).
La nouvelle version de la norme a été publiée le 31 mars 2022. Les modifications apportées par rapport à la version précédente 3.2.1 sont les suivantes :
- L’extension de l’exigence 8 à la mise en œuvre de l’authentification multifacteur (MFA) pour tous les accès à l’environnement de données du titulaire de carte.
- La mise à jour de la terminologie des pare-feux en contrôles de sécurité du réseau afin de prendre en charge un éventail plus large de technologies utilisées pour atteindre les objectifs de sécurité traditionnellement atteints par les pare-feux.
- Une plus grande flexibilité pour les entreprises afin de démontrer comment elles utilisent différentes méthodes pour atteindre les objectifs de sécurité.
- L’ajout d’analyses de risques ciblées afin de permettre aux entités de définir la fréquence à laquelle elles effectuent certaines activités, en fonction de leurs besoins commerciaux et de leur exposition aux risques.
Les détails des mises à jour sont disponibles dans le document Résumé des modifications de la norme PCI DSS v4.0 sur le site web du PCI SSC.
Qu’est-ce que la norme PCI DSS ?
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a été élaborée pour encourager et renforcer la sécurité des données des comptes de cartes de paiement et faciliter l’adoption généralisée de mesures cohérentes de sécurité des données sensibles à l’échelle mondiale. Elle fournit un ensemble d’exigences techniques et opérationnelles destinées à protéger les données des comptes et à faire partie d’une politique globale de sécurité de l’information.
Qui doit se conformer à la norme PCI DSS ?
La conformité à la norme PCI DSS est obligatoire pour les institutions financières, les sociétés de traitement des paiements en ligne, les commerçants acceptant les cartes de paiement, toute entreprise traitant des transactions par carte de paiement, stockant ou accédant à des informations sur les cartes de paiement, ainsi que tout fournisseur de services permettant les activités commerciales partout dans l’écosystème de traitement des cartes.
Quand la norme PCI DSS 4.0 entrera-t-elle en vigueur ?
La norme PCI DSS v3.2.1 restera active pendant deux ans après la publication de la version 4.0. Les entreprises ont ainsi le temps de se familiariser avec la nouvelle version, de planifier et de mettre en œuvre les changements nécessaires. Le calendrier de mise en œuvre est présenté dans l’image ci-dessous.
Figure 1 : Calendrier de mise en œuvre de la norme PCI DSS 4.0. Source : PCI SSC
Quels sont les obstacles courants liés à la norme PCI DSS ?
- La non-conformité à la norme PCI DSS peut entraîner des amendes, des frais supplémentaires, ou même l’arrêt de votre capacité à traiter les transactions par carte de paiement.
- La conformité à la norme PCI DSS ne peut être considérée isolément ; les entreprises sont soumises à de multiples obligations de sécurité et à des lois ou réglementations en matière de protection des données et de la vie privée. D’autre part, les projets de conformité à la norme PCI DSS peuvent facilement être écartés au profit d’initiatives de sécurité d’entreprise plus vastes.
- Les conseils et recommandations liés aux exigences de la norme PCI DSS comprennent des pratiques courantes qui sont probablement déjà en place. Toutefois, certains aspects, notamment ceux liés au chiffrement et à l’authentification multifacteur, peuvent être nouveaux pour l’entreprise et les mises en œuvre peuvent être perturbantes, ayant un impact négatif sur l’efficacité opérationnelle si elles ne sont pas conçues correctement.
- Il est trop facile de se retrouver avec une approche fragmentée de la sécurité basée sur des solutions propriétaires multiples et des technologies inadéquates, coûteuses, complexes à exploiter et créant des vulnérabilités supplémentaires.
- Il existe des possibilités de réduire le champ d’application des obligations de conformité PCI DSS et donc de réduire les coûts et l’impact ; toutefois, les entreprises peuvent perdre du temps et de l’argent si elles ne font pas preuve de diligence raisonnable pour s’assurer que les nouveaux systèmes et processus seront accrédités comme étant conformes à la norme PCI DSS.
Quelles sont les sanctions en cas de non-conformité à la norme PCI DSS ?
Les sanctions pour non-conformité à la norme PCI DSS peuvent inclure des amendes allant de 5 000 à 100 000 dollars par mois. Les sanctions peuvent également inclure des exigences accrues en matière d’audit et l’arrêt potentiel de l’activité liée aux cartes de crédit par une banque d’affaires ou une marque de cartes de crédit.
Conformité à la norme de sécurité des données de l’industrie des cartes de paiement 4.0 (PCI DSS)
Découvrir la conformité à la norme PCI DSS 4.0, la dernière mise à jour de la norme de sécurité des données de l’industrie des cartes de paiement, et comment Thales peut aider à sécuriser les données des titulaires de cartes dans les environnements informatiques hybrides.
Comment Thales contribue à la conformité à la norme PCI DSS
S’appuyant sur des décennies d’expérience pour aider les banques et les institutions financières à se conformer aux exigences du secteur, Thales propose des produits et des services intégrés permettant à votre entreprise de protéger les données stockées des titulaires de cartes, de les chiffrer pour le transfert, de restreindre l’accès en fonction du besoin d’en connaître et de protéger les applications gérant les transactions de paiement. En outre, Thales travaille en étroite collaboration avec des partenaires pour proposer des solutions complètes susceptibles de réduire la charge associée à vos obligations de conformité à la norme PCI DSS.
Répondre aux exigences de conformité de la norme PCI DSS 4.0
Comment Thales vous aide :
- Découvrez, analysez et hiérarchisez les vulnérabilités.
- Appliquez la multi-location et la séparation des tâches.
- Utilisez un accès administratif hors console chiffré.
Solutions :
Sécurité des données
Comment Thales vous aide :
- Découvrez et classifiez les données des titulaires de cartes.
- Chiffrez et tokénisez les données des titulaires de cartes.
- Protégez les clés de chiffrement dans les dispositifs FIPS 140-2 niveau 3.
- Gérez le cycle de vie des clés et des secrets.
Comment Thales vous aide :
- Tokénisez et chiffrez les données avant leur transmission.
- Chiffrez les données en transit à haut débit.
Comment Thales vous aide :
- Inspectez l’ensemble du trafic, détectez et prévenez les attaques basées sur le web grâce au WAF.
- Autorisez uniquement les scripts autorisés sur la page de paiement.
- Découvrez, analysez et hiérarchisez les vulnérabilités.
- Utilisez la racine de confiance FIPS 140-2 niveau 3 pour les identifiants et les clés.
Comment Thales vous aide :
- Interdisez l’accès non autorisé aux données et aux secrets protégés des titulaires de cartes.
- Séparez les tâches et accordez un accès au moindre privilège.
- Gérez de manière centralisée les identités des utilisateurs et les politiques d’authentification basées sur les risques pour les environnements de données du titulaire de carte (CDE).
Solutions :
Sécurité des données
Gestion des identités et des accès
Comment Thales vous aide :
- Assurez-vous que chaque utilisateur dispose d’un identifiant unique.
- Utilisez le plus large éventail de méthodes d’authentification et de facteurs de forme.
- Utilisez des politiques gérées de manière centralisée à partir d’un back-end d’authentification fourni dans le cloud ou sur site.
Comment Thales vous aide :
- Chiffrez et tokénisez les données avec destruction des clés.
- Utilisez des cartes à puce pour le contrôle d’accès physique.
Solutions :
Sécurité des données
Gestion des identités et des accès
Comment Thales vous aide :
- Produisez une piste d’audit complète des événements d’accès aux fichiers, clés et secrets, et envoyez-la au SIEM.
- Procédez à une vérification continue de l’activité d’audit 24 h/24, 7 j/7 et 365 j/an.
- Procédez à une détection des anomalies par apprentissage automatique afin d’identifier les comportements suspects.
Solutions :
Sécurité des données
Gestion des identités et des accès
Comment Thales vous aide :
- Empêchez les modifications non autorisées des pages de paiement en n’autorisant que les scripts autorisés.
Comment Thales vous aide :
- Localisez les données réglementées structurées et non structurées dans le cloud, le Big Data et les magasins de données traditionnels.
- Automatisez la correction des données si un numéro de compte principal (PAN) vulnérable est découvert en dehors de l’environnement de données du titulaire de carte (CDE).
Ressources associées
Présentation de la solution
Se préparer à la norme PCI DSS 4.0 avec Thales OneWelcome Identity Platform
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.