Qu'est-ce que la conformité PCI ?
La conformité à l'industrie des cartes de paiement (PCI), initialement connue sous le nom de norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), est un code de conduite autoréglementé de l'industrie, administré par le Conseil des normes de sécurité de l'industrie des cartes de paiement.
La conformité PCI oblige les organisations qui traitent des cartes de crédit de marque sous les principaux systèmes de cartes (Visa, Mastercard, American Express, etc.) à accepter, stocker, traiter et transmettre de manière sécurisée les données des titulaires de carte.
Les entreprises doivent découvrir les données sensibles stockées, transmises ou traitées dans leur système et les protéger contre tout accès non autorisé pour se conformer à la PCI. Les logiciels de découverte de données sensibles facilitent la localisation de ces données sensibles et aident les entreprises à mettre en place des mesures appropriées pour empêcher les pirates d'y accéder.
Les organisations ont besoin des éléments suivants pour devenir conformes à la PCI :
- 12 exigences générales de conformité PCI
- 78 exigences de base en fonction de votre entreprise
- Quatre cents procédures de test pour s'assurer que votre organisation respecte les exigences PCI (en fonction de votre entreprise)
Les réglementations de conformité PCI garantissent que les clients et les entreprises sont protégés contre les violations de données. Elles s'appliquent à toutes les entreprises manipulant des informations de carte de crédit et constituent un pilier fondamental du protocole de sécurité de chaque organisation.
Les normes PCI ont élargi leurs directives pour inclure les transactions Internet cryptées et ont ajouté de nouvelles règles et réglementations pour s'adapter aux récentes avancées en matière de technologie de paiement et de commerce.
Niveaux de conformité PCI
Quatre niveaux de conformité PCI déterminent le nombre de transactions qu'un commerçant traite chaque année.
- Niveau 1 : Commerçants qui traitent plus de 6 millions de transactions par carte par an.
- Niveau 2 : Commerçants qui traitent de 1 à 6 millions de transactions par carte par an.
- Niveau 3 : Commerçants qui traitent de 20 000 à 1 million de transactions par carte par an.
- Niveau 4 : Commerçants qui traitent moins de 20 000 transactions par carte par an.
Pour les organisations au niveau de conformité PCI 1, atteindre la conformité PCI inclut la réalisation d'audits externes par un évaluateur de sécurité qualifié (QSA) ou un évaluateur de sécurité interne (ISA). Le QSA ou l'ISA effectue une évaluation sur site pour :
- Valider le périmètre de l'évaluation
- Examiner les informations techniques et la documentation,
- Déterminer si les exigences PCI sont respectées
- Offrir des conseils et un soutien pendant le processus de conformité
- Évaluer les contrôles compensatoires
Après une évaluation réussie, l'évaluateur de sécurité qualifié soumet un Rapport de conformité (RoC) aux banques opérationnelles de l'organisation pour démontrer la conformité.
Les organisations de niveau 2 de conformité PCI doivent également compléter un RoC.
Les organisations de niveau 2 à 4 peuvent compléter un questionnaire d'auto-évaluation au lieu d'audits externes pour déterminer la conformité.
Avantages de la conformité PCI DSS
La conformité PCI DSS fournit un ensemble de réglementations et d'exigences pour garantir une confidentialité et une sécurité optimales des données.
Certains des avantages d'être conforme au PCI DSS sont :
- La conformité PCI DSS garantit que les actifs de l'entreprise ont plusieurs couches de sécurité.
- Elle répertorie les menaces et vecteurs d'attaques évolutifs, rendant l'environnement de données plus sécurisé.
- Le PCI DSS implique la mise en place de pare-feu, de SIEM, et d'autres infrastructures de sécurité pour recueillir des renseignements sur les menaces en cas d'anomalies.
- La conformité PCI met l'accent sur le chiffrement des données des titulaires de carte, rendant une entreprise conforme au PCI DSS une cible moins précieuse pour les cybercriminels.
- Les principes de conformité PCI mettent un fort accent sur la protection des données des titulaires de carte lorsqu'elles sont stockées ou transmises. Ils insistent sur l'application des principes PCI avec une infrastructure de sécurité appropriée pour aider les organisations à prévenir les violations de données.
- La conformité PCI DSS construit et maintient la confiance des clients et rend la sécurité des données sans tracas.
- La conformité PCI aide à aligner les entreprises sur les normes acceptées par l'industrie pour le stockage, le traitement et la transmission des informations des titulaires de carte.
- La conformité PCI DSS aide les organisations à se conformer aux normes de sécurité des données reconnues par l'industrie.
Exigences de conformité PCI
Les exigences de conformité PCI DSS se concentrent sur l'atteinte de la conformité PCI et la protection des données des titulaires de carte contre tout accès non autorisé.
1. Protéger le réseau de l'entreprise avec des pare-feu
Étapes que vous pouvez suivre pour protéger votre réseau :
- Configurer des pare-feu pour sécuriser le réseau de l'entreprise et réguler le trafic entrant et sortant en fonction des critères organisationnels.
- Utiliser des pare-feu matériels et logiciels pour protéger le réseau.
- Configurer les pare-feu pour le trafic entrant et sortant. Si un attaquant pénètre dans le système, il lui sera difficile d'exporter les informations volées grâce aux règles de sortie.
2. S'abstenir d'utiliser des mots de passe par défaut et configurer les paramètres
Pour se conformer à la deuxième exigence de la conformité PCI :
- Changer les mots de passe par défaut et mettre en œuvre le durcissement du système et la gestion de la configuration du système.
- Traiter toutes les vulnérabilités du système, les corriger et les signaler, et s'assurer que les normes de durcissement du système sont alignées sur les meilleures pratiques de l'industrie.
- Adopter un logiciel de gestion de système, qui sert de package complet pour la surveillance, l'analyse et la configuration des appareils et des options de durcissement du système.
- Vérifier que la norme de durcissement du système est mise en œuvre de manière sécurisée à mesure que de nouveaux appareils et applications sont introduits dans l'environnement système.
3. Protéger les données des titulaires de carte stockées contre tout accès non autorisé
Adopter la mesure suivante pour protéger les données des titulaires de carte contre tout accès non autorisé :
- Chiffrer les données des titulaires de carte en utilisant des normes de chiffrement fortes et acceptées par l'industrie comme l'AES-256.
- S'assurer que les systèmes stockent les détails confidentiels des titulaires de carte dans un format chiffré.
- Créer et documenter le diagramme de flux de données des titulaires de carte (CHD). C'est une représentation graphique du flux de données au sein d'une organisation.
- Utiliser un outil de découverte de données sensibles pour trouver des informations sensibles comme le numéro de sécurité sociale dans les systèmes de l'entreprise pour les chiffrer ou les supprimer.
4. Chiffrer la transmission des données des titulaires de carte sur des réseaux ouverts et publics
Considérer les éléments suivants pour chiffrer la transmission des données des titulaires de carte sur des réseaux ouverts ou publics :
- Identifier comment et où les données sont transmises. Suivre toutes les zones où des détails similaires sont envoyés.
- Passer de la couche de sockets sécurisés (SSL) et des premières versions de la sécurité de la couche de transport (TLS) à des versions plus sécurisées de TLS.
- Vérifier les passerelles, les fournisseurs de terminaux, les prestataires de services et les banques pour voir s'ils utilisent un chiffrement mis à jour pour les applications transactionnelles.
5. Utiliser une version mise à jour du logiciel antivirus
Adopter les mesures suivantes pour se conformer à la cinquième exigence PCI DSS.
- Utiliser un logiciel antivirus et protéger les systèmes contre les logiciels malveillants connus.
- Mettre à jour régulièrement le logiciel antivirus.
- Recueillir des informations sur les logiciels malveillants émergents et les différentes façons dont ils peuvent pénétrer dans les systèmes de l'entreprise.
- Configurer les systèmes et concevoir des processus pour être alerté en cas d'activité malveillante dans l'environnement système.
- Effectuer des analyses périodiques de logiciels malveillants pour s'assurer que vous avez un processus conçu pour les mettre en œuvre.
6. Développer et maintenir des systèmes et des applications sécurisés
Pratiquer les méthodes suivantes pour développer et maintenir des systèmes et des applications sécurisés :
- Corriger les faiblesses de sécurité avec les correctifs récents publiés par le fournisseur de logiciels.
- Installer les dernières mises à jour de sécurité et corriger les vulnérabilités dans les applications et les systèmes qui sont cruciaux pour le flux de données de carte.
- Installer les correctifs critiques dans le mois suivant leur publication pour garantir la conformité
- Être proactif dans la gestion des correctifs et l'implémentation dès que le correctif est publié.
7. Restreindre l'accès aux données des titulaires de carte selon le besoin de savoir de l'entreprise
Considérer les éléments suivants pour restreindre l'accès aux données des titulaires de carte :
- Assurer des contrôles d'accès stricts aux données des titulaires de carte en mettant en œuvre des systèmes de contrôle d'accès basé sur les rôles (RBAC) qui accordent l'accès aux détails des titulaires de carte sur une base de besoin de savoir.
- S'abstenir de créer des utilisateurs de groupe ou de partager un compte utilisateur commun avec d'autres utilisateurs. Il sera difficile de suivre les violations de données.
8. Attribuer un identifiant unique à chaque personne ayant accès à l'ordinateur
Prendre les mesures suivantes pour se conformer à la huitième exigence de la conformité PCI DSS :
- Attribuer un identifiant unique à chaque utilisateur ayant accès à l'ordinateur et créer des mots de passe forts pour empêcher tout accès non autorisé.
- Créer plusieurs couches de sécurité lors de la protection des comptes utilisateurs.
- Utiliser des solutions d'authentification multi-facteurs pour fournir des couches de défense supplémentaires et protéger vos systèmes contre les attaquants.
9. Restreindre l'accès physique au lieu de travail et aux données des titulaires de carte
Éléments importants à considérer pour se conformer à la neuvième exigence de la conformité PCI DSS :
- Limiter l'accès des employés aux zones où les données des titulaires de carte sont stockées.
- Documenter les employés ayant accès à des environnements sécurisés et ceux ayant besoin de privilèges d'accès. Lister tous les utilisateurs d'appareils autorisés, les emplacements où l'appareil n'est pas autorisé, et où il se trouve actuellement. Noter toutes les applications pouvant être accessibles sur un appareil. Enregistrer quoi, où, quand et pourquoi les appareils sont utilisés.
- Différencier les employés et les visiteurs dans l'organisation, et utiliser des méthodes pour surveiller les personnes ayant accès à des environnements sécurisés.
- S'assurer que les privilèges d'accès de l'utilisateur sont supprimés, et que les mécanismes d'accès physique comme les clés et les cartes d'accès sont désactivés ou retournés lors du départ des employés.
10. Suivre et surveiller l'accès aux ressources réseau et aux données des titulaires de carte
Points cruciaux à considérer lors du suivi et de la surveillance de l'accès aux ressources réseau et aux données des titulaires de carte :
- Mettre en œuvre et maintenir un système de journalisation pour visualiser tous les journaux et recevoir des alertes en cas d'anomalies.
- Vérifier les journaux d'événements système au moins une fois par jour pour identifier les modèles, recueillir des renseignements sur les menaces et détecter les comportements qui contredisent les tendances attendues.
- Utiliser des solutions de gestion des informations et des événements de sécurité (SIEM) pour construire et gérer un système centralisé de collecte de journaux, de surveillance et d'inspection.
11. Tester régulièrement les systèmes de sécurité et les processus
Suivre les pratiques mentionnées ci-dessous pour se conformer à la onzième exigence de la conformité PCI DSS.
- Effectuer des analyses de vulnérabilité fréquentes pour identifier si les faiblesses de sécurité ont été corrigées avec succès.
- Réaliser des analyses de vulnérabilité trimestrielles pour toutes les adresses IP externes et les domaines exposés dans l'environnement des données des titulaires de carte en utilisant un fournisseur d'analyse approuvé par la PCI (ASV).
- Effectuer des tests de pénétration réguliers pour identifier les différentes façons dont les pirates peuvent exploiter les vulnérabilités pour configurer en toute sécurité vos systèmes de sécurité et protéger les données contre des tactiques malveillantes similaires. (La fréquence des tests de pénétration dépend de votre questionnaire d'auto-évaluation (SAQ), de l'environnement, de la taille, des procédures et d'autres facteurs).
12. Évaluation des risques et documentation
Adopter les pratiques suivantes pour se conformer à la dernière exigence de la conformité PCI DSS :
- Documenter toutes les politiques, procédures et preuves associées aux pratiques de sécurité de l'information de l'organisation.
- Évaluer les risques formels et annuels pour déterminer les menaces critiques, les vulnérabilités et les risques associés.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
