La norme PCI DSS v3.2.1 a été récemment retirée et remplacée par la v4.0 le 1er avril 2024. Cette nouvelle version apporte des changements importants que tous les commerçants et prestataires de services traitant des données de cartes de paiement doivent connaître et prévoir afin de respecter les obligations de conformité.
Bon nombre des nouvelles exigences constituent de bonnes pratiques jusqu’au 31 mars 2025, mais le message est clair : commencez à planifier dès maintenant pour vous assurer que toutes les exigences sont mises en œuvre et respectées avant que les exigences futures n’entrent en vigueur.
Qu’est-ce que la norme PCI DSS?
PCI DSS est une norme mondiale élaborée par les systèmes de cartes (Visa, Mastercard, etc.) en collaboration avec un groupe d’experts du secteur pour garantir la sécurité des paiements par carte. L’ensemble des contrôles de sécurité couvre les aspects fondamentaux de la sécurité de l’information et s’étend aux personnes, aux processus et aux technologies impliqués dans les systèmes de traitement des cartes de paiement.
Toute entité qui stocke, traite ou transmet des données de cartes de paiement a l’obligation de se conformer à la norme PCI DSS. La norme s’applique également aux entités qui peuvent avoir un impact sur la sécurité d’un environnement de traitement des cartes de crédit, comme les fournisseurs de services en nuage, les passerelles de paiement et les fournisseurs de services gérés.
Quel est l’objet de la v4.0?
La norme vise à répondre aux nouveaux risques et aux nouvelles méthodes d’attaque issus des nouvelles technologies utilisées dans les systèmes de paiement. Les mises à jour :
- Offrent une plus grande flexibilité en utilisant différentes méthodes pour atteindre les objectifs de sécurité.
- Répondent aux besoins de sécurité en fonction de l’évolution des menaces.
- Font la promotion de la sécurité comme un service continu.
- Incluent des méthodes et des procédures améliorées de validation de la conformité.
Voici quelques mises à jour importantes de la v4.0 à connaître :
- Une approche personnalisée : Une nouvelle méthode de rapports pour tester et valider les exigences en fonction des objectifs de sécurité plutôt que des contrôles normatifs.
- Rôles et responsabilités : Définis pour chaque exigence afin de promouvoir la sécurité en tant que processus continu, en veillant à ce que les tâches soient attribuées et gérées efficacement.
- Documentation sur le champ d’application : Toujours requis dans les versions précédentes pour soutenir les évaluations, des artefacts détaillés sont désormais requis et examinés chaque année pour les commerçants et deux fois par an pour les prestataires de services.
- Analyse ciblée des risques : Définit la fréquence de certaines activités de mise en conformité en fonction du niveau de risque pour les comptes de logiciels malveillants, d’applications et de systèmes; les inspections des IOP; les examens des journaux; la gestion des vulnérabilités; et la vérification de l’intégrité des pages de paiement.
- Exigences plus strictes en matière d’authentification multifacteurs (AMF) : L’AMF sera exigée pour tout accès à l’environnement des données du titulaire de la carte, et pas seulement pour l’accès administratif. Cela améliore la sécurité contre un éventuel accès non autorisé.
- Nouvelles exigences en matière de commerce électronique et d’hameçonnage pour faire face aux menaces actuelles : Contrôle de l’intégrité des scripts des pages de paiement et « devoir de diligence » des systèmes de courriel.
- Meilleure gestion du cryptage et des clés : Exige l’utilisation de clés cryptographiques fortes, de hachages verrouillés pour le PAN stocké, d’inventaires et de procédures distinctes de gestion des clés.
- Amélioration de la consignation et de la surveillance : Consignation plus étendue des activités, des accès et des alertes dans les différents environnements. Automatisation de l’examen des journaux pour une meilleure détection des anomalies et des activités suspectes.
- Amélioration de la sécurité de l’IAM et des mots de passe : Des exigences et des politiques plus strictes en matière de mots de passe afin de se protéger contre les attaques par force brute. Examiner et se concentrer sur les comptes de système et d’application, en particulier ceux qui disposent d’une capacité de connexion interactive.
- Analyses de vulnérabilité internes authentifiées : La planification et la délimitation du champ d’application sont nécessaires pour s’assurer que toute découverte supplémentaire peut être corrigée à temps pour l’évaluation.
- Gestion de la vulnérabilité : Remédiation aux vulnérabilités, et pas seulement à celles classées comme critiques ou élevées.
- Réponse aux incidents : Détection inattendue de PAN, modifications de la page de paiement, etc.
Ces mises à jour adoptent une approche plus centrée sur les données afin de protéger les données sensibles des titulaires de cartes. Pour les commerçants et les fournisseurs de services, cela signifie que la nouvelle norme nécessitera une planification, des solutions techniques, des ressources et un budget supplémentaires pour se mettre en conformité.
Engagement envers la sécurité
L’adoption de la norme PCI DSS v4.0 témoigne d’un engagement continu en faveur de la sécurité des données. En effectuant la transition et en respectant les normes industrielles actualisées, vous conservez la confiance de vos clients et vous respectez les obligations applicables.
Le fait de donner la priorité à la protection des cartes de paiement réduit également le risque de dommages financiers et d’atteinte à la réputation résultant de violations potentielles et d’amendes pour non-conformité. Il est également important de confirmer les procédures de validation et d’attestation, qui peuvent inclure la soumission de nouveaux questionnaires ou la révision des politiques et procédures internes.
Téléchargez PCI DSS v4.0 en bref. Pour en savoir plus, consultez le matériel de nos experts en matière de confiance numérique « Cadre de cybersécurité du NIST : nouveautés de la version v2.0 » par John Kociak et « Se défendre contre le côté obscur de l’IA » par Terry Minford.
Visitez le Coin des experts de BSI pour obtenir plus d’informations de la part des experts de l’industrie. Abonnez-vous à nos infolettres LinkedIn, « Experts Corner-2-Go », pour obtenir un aperçu du plus récent contenu relatif au leadership éclairé : confiance numérique, ESS, chaîne d’approvisionnement.
