Adequate Learning; Une Autre Vision de la Formation
Adequate Learning; Une Autre Vision de la Formation

Norme PCI-DSS sur les cartes de crédit

Le PCI-DSS (« Payment Card Industry – Data Security Standard) est une norme mondiale visant à renforcer et sécuriser les données de cartes de paiement contre des personnes malintentionnées. La norme PCI-DSS s’applique notamment aux différentes entités impliquées dans le processus de cartes de paiement, dont celles qui stockent, traitent ou transmettent ces données.

Ce standard fut introduit en 2001 par VISA afin de réduire la compromission des cartes de crédit dans le commerce électronique des sites Web et avec les marchands. De son côté, Mastercard avait développé le programme SDP (« Site Data Protection ») qui incluait des exigences de balayage de vulnérabilités, de mises à jour des correctifs, l’obligation d’implémenter un pare-feu et de sécuriser les bases de données qui font fassent à l’Internet.

En 2004, VISA et Mastercard collaborent ensemble pour consolider le PCI-DSS et le programme SDP. Ensemble, elles créent 2 programmes d’évaluation, une évaluation détaillée et un programme d’autoévaluation. Depuis 2006, une organisation indépendante, le conseil des normes de sécurité PCI « PCI Security Council », s’occupe de ce programme de conformité.


Depuis 2010, cette norme sur les cartes de paiement est à la version 2.0 et comprend 12 exigences :

Création et gestion d’un réseau sécurisé (Source : PCI Security Standards Council)

1. Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de cartes 

2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur 

Protection des données de titulaire de carte de crédit

3. Protéger les données de titulaire de carte stockées 

4. Crypter la transmission des données de titulaire de carte sur les réseaux publics ouverts

Gestion d’un programme de gestion des vulnérabilités

5. Utiliser des logiciels ou des programmes antivirus et les mettre à jour régulièrement 

6. Développer et gérer des systèmes et des applications sécurisés

Mise en œuvre des mesures de contrôle d’accès strictes

7. Restreindre l’accès aux données de titulaire de carte aux seuls individus qui doivent les connaître

8. Attribuer un ID unique à chaque utilisateur d’ordinateur 

9. Restreindre l’accès physique aux données de titulaire de carte

Surveillance et test réguliers des réseaux

10. Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaire de carte 

11. Tester régulièrement les processus et les systèmes de sécurité

Gestion d’une politique de sécurité des informations

12. Gérer une politique qui assure la sécurité des informations au niveau de l’ensemble du personnel.

 

Les renseignements de comptes de carte de paiement se composent des données de titulaire de carte (numéro de compte principal ou PAN- « Primary Account Number », le nom, la date d’expiration) et les données d’authentification (se retrouvant sur la bande magnétique ou la puce ainsi que les codes de vérification). Les exigences PCI-DSS s’appliquent seulement si le PAN est stocké, traité ou transmis. Pour assurer la sécurité du numéro du compte principal (PAN), cette information se doit d’être chiffrée, que ce soit lors du stockage ou lors de la transmission.

Le respect des règles PCI-DSS est une étape dans la bonne direction pour ralentir le nombre croissant d’incidents de masses de cartes de crédit compromises ou fraudées, et ce, autant par le piratage externe que par des employés à l’interne. Les marchands devraient utiliser les services d’un évaluateur qualifié en matière de sécurité (QSA- « Qualified Security Assessors ») pour définir la portée de la revue, évaluer les risques et documenter l’environnement de contrôle. 

Le PCI-DSS est un standard très difficile à atteindre avec la pleine conformité. Il est important de réaliser que ce standard n’est pas une fin en soi, mais plutôt, un processus à implanter.

En novembre 2012, le conseil des normes de sécurité PCI a sorti un supplément « PCI-DSS Risk Assessment Guidelines » afin de guider les entreprises sur une des exigences du PCI-DSS, soit l’évaluation des risques (12.1.2). En effet, ce guide comprend un processus formel qui permet d’identifier les menaces et vulnérabilités qui pourraient impacter la sécurité des données des titulaires de cartes de crédit.

Plus récemment, en février 2013, ce groupe a publié un guide pour sécuriser les données de cartes de paiement dans un environnement infonuagique « PCI DSS Cloud Computing Guidelines Information Supplement » pour aider les entreprises dans le choix de solutions et fournisseurs de Cloud Computing qui pourront assurer la sécurité des données et le support à la conformité PCI-DSS. 

Pour en savoir plus sur le PCI-DSS, vous pouvez consulter :

https://www.pcisecuritystandards.org/

Pour en apprendre davantage sur le guide PCI DSS Cloud Computing, voir l’article suivant : 

http://www.tnawareness.com/fr/blog/guide-supplementaire-pci-dss-pour-ass...

L’exigence 12.6 du PCI-DSS consiste à mettre en œuvre un programme formel de sensibilisation à la sécurité afin de sensibiliser le personnel à l'importance de la sécurité des données de titulaire de carte. À cet effet, Terranova propose aux entreprises un ensemble d'outils faciles à déployer pour sensibiliser le personnel à la sécurité PCI. Consulter ce lien pour plus de détails :

http://www.tnawareness.com/fr/securite-information/campagnes-sensibilisa...

Par Patrick Paradis, Conseiller en sécurité de l'information

- See more at: http://www.tnawareness.com/fr/blog/norme-pci-dss-sur-les-cartes-de-credit#sthash.fhFUBFmN.dpuf

Version imprimable Version imprimable | Plan du site Recommander ce site Recommander ce site
© 2014. Copyright Adequate Learning