Table des matières
Lien d'en-tête de texte

Préparez-vous pour la PCI DSS 4.0

Sep 26, 2023
Préparez-vous pour la PCI DSS 4.0

American Express a émis la première carte de crédit en plastique en 1959. Et bien que les banques individuelles aient établi leurs propres normes de sécurité au fil du temps, il a fallu attendre décembre 2004, soit près de 55 ans après l’apparition de la carte Diner’s Club en carton en 1950, pour qu’une norme au niveau de l’industrie voie le jour : la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

Contexte pour PCI DSS

La norme PCI DSS n’est pas tout à fait comparable à une réglementation gouvernementale—comme la GLBA—car les violations ne constituent pas des infractions pénales. En réalité, le Payment Card Industry Security Standards Council (PCI SSC) est un groupement commercial international qui administre la norme, qualifie les évaluateurs et exerce d’autres activités réglementaires. PCI DSS est une certification volontaire soutenue par la majorité de l’industrie du crédit et de la banque, visant à protéger les transactions de paiement mondiales et les données des comptes. La certification PCI signifie qu’une organisation, telle qu’un commerçant ou un prestataire de services/technologies de traitement de cartes, a mis en place des systèmes de sécurité et des mesures de protection pour prévenir le vol, la falsification ou toute autre altération des paiements numériques.

Notez que le DSS n'est pas le seul standard ou exigence que le PCI SSC a établi pour protéger les paiements et les titulaires de cartes, selon que votre entreprise est un commerçant, un prestataire de services, un fabricant ou un développeur de logiciels. Parmi les quinze standards, voici quelques points forts :

  • Exigences de sécurité des transactions par code PIN (PTS) est un ensemble d'exigences de sécurité axées sur les caractéristiques et la gestion des dispositifs utilisés pour la protection des codes PIN des titulaires de carte et d'autres activités liées au traitement des paiements.
  • La norme de sécurité des données des applications de paiement (PA-DSS) s'adresse aux éditeurs de logiciels et à toute personne développant des applications de paiement qui stockent, traitent ou transmettent des données de titulaires de carte et/ou des données d'authentification sensibles dans le cadre de l'autorisation ou du règlement.
  • La norme PCI Point-to-Point Encryption (P2PE) fournit un ensemble complet d'exigences de sécurité pour que les fournisseurs de solutions P2PE valident leurs solutions P2PE et peut aider à réduire le périmètre PCI DSS des commerçants utilisant ces solutions.

Deux autres sont spécifiques à la production de cartes et à la tokenisation :

  • Exigences de sécurité logique et exigences de sécurité physique pour la production de cartes PCI
  • Exigences de sécurité du fournisseur de services de jetons PCI (TSP)

Quelles sont les exigences de politique pour PCI DSS ?

La version 1.0 du DSS définissait douze exigences de sécurité et de processus structurées selon six objectifs de contrôle, ainsi que quatre niveaux de reporting basés sur les volumes de transactions. Pour apporter des clarifications et répondre à l'évolution des technologies et des menaces, dans la version 4.0, ces éléments ont été considérablement mis à jour pour :

  1. Installer et maintenir les contrôles de sécurité du réseau
  2. Appliquer des configurations sécurisées à tous les composants du système
  3. Protéger les données de compte stockées
  4. Protégez les données du titulaire de carte avec une cryptographie forte lors de leur transmission sur des réseaux ouverts et publics.
  5. Protégez tous les systèmes et réseaux contre les logiciels malveillants
  6. Développer et maintenir des systèmes et logiciels sécurisés
  7. Restreindre l'accès aux composants du système et aux données des titulaires de carte selon le principe du besoin d'en connaître pour l'entreprise
  8. Identifier les utilisateurs et authentifier l'accès aux composants du système
  9. Restreindre l'accès physique aux données des titulaires de carte
  10. Consignez et surveillez tous les accès aux composants du système et aux données des titulaires de carte
  11. Testez régulièrement la sécurité des systèmes et des réseaux
  12. Soutenir la sécurité de l'information grâce à des politiques et des programmes organisationnels

Pour aider les entreprises à comprendre et à répondre à ces exigences, celles-ci sont regroupées selon des principes directeurs (objectifs) qui s’alignent sur les meilleures pratiques généralement reconnues pour sécuriser tout environnement réseau (et pas seulement les systèmes de paiement) :

  • Créer et maintenir un réseau et des systèmes sécurisés (exigences 1 et 2)
  • Protéger les données du compte (exigences 3 et 4)
  • Maintenir un programme de gestion des vulnérabilités (exigences 5 et 6)
  • Mettre en place des mesures strictes de contrôle d'accès (exigences 7, 8 et 9)
  • Surveillez et testez régulièrement les réseaux (exigences 10 et 11)
  • Maintenir une politique de sécurité de l'information (exigence 12) 

Les commerçants qui traitent des transactions doivent respecter un niveau d'évaluation basé sur le volume annuel de leur activité, et la banque « acquéreuse » (par exemple, Visa) peut, à sa discrétion, vous placer dans une catégorie supérieure. Chaque niveau (voir ici via Mastercard) définit le degré de rigueur des évaluations et des pratiques de reporting des commerçants, ce qui influence également les investissements nécessaires pour se conformer aux normes :

  • Marchand Niveau 1 : plus de 6 millions de transactions
  • Niveau de commerçant 2 : 1M – 6M transactions
  • Marchand Niveau 3 : 20 000 à 1 million de transactions
  • Marchand Niveau 4 : moins de 20 000 transactions

Les prestataires de services sont également soumis à des évaluations et doivent se certifier soit au niveau 1, défini comme >300 000 transactions, soit au niveau 2, défini comme <300 000 transactions.

Quelles sont les conséquences en cas de non-conformité ?

PCI DSS est similaire à ISO et autres normes de sécurité de l'information en ce qu'il confère une responsabilité en cas de manquements (et des amendes aux sociétés de crédit membres qui peuvent également être imposées aux commerçants, pouvant atteindre jusqu'à 100 000 $ par mois) mais n'est pas un cadre juridique en soi — bien que cela ne signifie pas que les violations n'entraîneront pas de poursuites judiciaires.

Equifax a subi une violation de données en 2017 qui a compromis les données de plus de 145 millions d'Américains. Parmi les données volées figuraient des numéros de carte de crédit. Les personnes concernées ont déposé des réclamations contre l'entreprise, ce qui a entraîné des règlements ayant coûté à Equifax plus de 425 millions de dollars à ce jour.

Après qu'Adobe ait perdu les numéros de cartes de crédit et les informations de connexion de plus de 38 millions d'utilisateurs Adobe en 2013, l'entreprise a dû faire face à des poursuites judiciaires de 15 états différents et a réglé un million de dollars, en plus de montants de règlement non divulgués.

Quelles sont les nouveautés de la version 4.0 de la norme PCI DSS ?

La version 4.0 de PCI DSS a été publiée publiquement en mars 2022, mais n’entrera pleinement en vigueur qu’en mars 2025. En 2024, la version 3.2.1 sera obsolète et les organisations devront commencer à mettre en œuvre les exigences de la version 4.0. Le document de modification disponible ici fournit des détails, mais les mises à jour vont de simples clarifications de texte à de nouvelles directives sur le chiffrement des numéros de compte. De plus, des exigences accrues s’appliquent à la définition des rôles et responsabilités au sein d’une organisation, à la défense contre les logiciels malveillants, aux politiques de réponse aux cyberattaques, à la portée, et bien plus encore. Étant donné que la dernière véritable mise à jour complète remonte à la version 3.2 en 2016, la version 4.0 requiert votre attention immédiate.

Quelles données sont réglementées par la norme PCI DSS ?

À mesure que la technologie dans le secteur des services financiers a progressé, le nombre et les types de données traitées ont également augmenté. Ainsi, la version 4.0 s'est élargie pour inclure non seulement les données de compte et d'autres informations personnelles, mais aussi les données d'authentification sensibles (SAD), l'accès administratif, les journaux / revues, la gestion des certificats, etc. Ces lacunes avaient auparavant été comblées par d'autres groupes de sécurité de l'information, tels que la Cloud Security Alliance avec la Cloud Control Matrix, mais leur intégration dans la norme PCI DSS apportera plus de rigueur aux efforts de conformité des commerçants, d'autant plus que la PCI DSS n'est pas dépendante d'autres certifications.

Certaines données ne doivent jamais être stockées après la finalisation d'une transaction (même si elles sont obscurcies) et représentent un risque extrême en cas de violation. Les SAD comprennent « le code de sécurité à 3 ou 4 chiffres imprimé à l'avant ou à l'arrière d'une carte, les données stockées sur la bande magnétique ou la puce d'une carte (également appelées “données de piste complètes”), et les numéros d'identification personnelle (PIN) saisis par le titulaire de la carte » (voir page 11 du Guide de référence rapide PCI DSS).

Comment Cyera prend en charge la conformité PCI DSS

Se conformer à une norme nécessite une compréhension approfondie des données que vous détenez et traitez — la norme PCI DSS facilite relativement l’identification de certaines informations, car les transactions ne peuvent être traitées que si les données sont dans un certain format (par exemple, un numéro de carte à 16 chiffres). Par conséquent, et cela peut indiquer un risque inhérent, les données de compte de paiement sont probablement stockées dans des applications et bases de données réparties dans votre organisation, aussi bien sur des points de terminaison internes qu’externes. Vous pouvez atténuer ces risques en découvrant, classifiant et identifiant les scénarios potentiels d’exploitation des données existant dans les systèmes distribués, puis en prenant des mesures correctives.

Pour les commerçants, prestataires de services, fabricants ou développeurs de logiciels, Cyera peut vous aider à renforcer la conformité PCI des données en :

  • Découvrir, classer et inventorier les données de titulaires de carte et d'authentification qui ont pu être perdues, oubliées ou mal gérées
  • Audit de l'obfuscation des données PCI et des méthodes utilisées. Par exemple, si un numéro de carte bancaire est chiffré, tokenisé, haché ou exposé en clair.
  • Évaluation de la résilience de sécurité de vos banques de données qui hébergent des données PCI. DSPM vous alertera en cas de sauvegardes manquantes, de journalisation insuffisante ou de mauvaises configurations connues qui peuvent exposer les données.
  • Signaler un accès trop permissif aux données PCI. Avec Cyera, vous pouvez voir qui a accès aux magasins de données, y compris les utilisateurs individuels.
  • Signaler des violations PCI spécifiques. Par exemple, lorsque des SAD sont stockées dans un datastore, en violation de l'exigence 3.2 de la norme PCI DSS qui interdit le stockage de ce type de données.
  • Détection des indicateurs de compromission. Par exemple, lorsque des données PCI passent d'un environnement sécurisé et approuvé à un environnement moins sécurisé et non approuvé, Cyera peut vous alerter de telles activités.

Respectez la conformité en toute confiance

L'économie mondiale et les entreprises qui la soutiennent sont tellement interconnectées qu'une violation, même dans la plus petite franchise, peut conduire à une fuite massive affectant des millions de personnes. La norme PCI DSS est conçue pour aider à sécuriser le traitement des transactions et permettre le commerce électronique mondial. Mais participer aux systèmes et processus de paiement signifie prendre les mesures nécessaires pour protéger non seulement vos données, mais aussi celles de vos clients et partenaires.

Cyera adopte une approche centrée sur les données en matière de sécurité, en évaluant l’exposition de vos données au repos et en cours d’utilisation, et en appliquant plusieurs couches de défense. Parce que Cyera applique un contexte approfondi des données de manière globale à l’ensemble de votre environnement de données, nous sommes la seule solution capable de permettre aux équipes de sécurité de savoir où se trouvent leurs données, ce qui les expose à des risques, et d’agir immédiatement pour remédier aux expositions et garantir la conformité sans perturber l’activité.

Pour en savoir plus sur la façon dont Cyera peut vous aider à répondre aux exigences de conformité PCI, planifiez une démo dès aujourd'hui.

Sujet

Thought Leadership

Partager

Ressources associées

Texte du bouton
Cyera and AWS IAM Access Analyzer integration for data-aware governance
BLOG

Jun 24, 2025

Jun 24, 2025

Cyera Research

Maîtrisez vos données, contrôlez vos accès : comment Cyera et AWS IAM Access Analyzer offrent une gouvernance des données sensible au contexte dans AWS

Maîtrisez vos données, contrôlez vos accès : comment Cyera et AWS IAM Access Analyzer offrent une gouvernance des données sensible au contexte dans AWS

Abstract illustration of AI and machine learning concepts with data streams, neural network nodes, and digital interface elements in shades of blue and purple
BLOG

Jun 19, 2025

Jun 19, 2025

Cyera Research

Le rôle de l'IA et du ML dans le DSPM

Le rôle de l'IA et du ML dans le DSPM

Illustration representing AI and machine learning, featuring abstract data patterns and neural network elements.
BLOG

Jun 16, 2025

Jun 16, 2025

Conseils pour créer un programme de sécurité des données réussi

Conseils pour créer un programme de sécurité des données réussi

Découvrez Cyera

Pour protéger votre dataverse, vous devez d'abord découvrir ce qu'il contient. Laissez-nous vous aider.

Demandez une démo →
Decorative