Qu'est-ce que la conformité PCI DSS?

PCI-DSS est le Payment Card Industry Data Security Standards. Comme son nom l'indique, il est explicite, cette norme s'applique à l'industrie des cartes de paiement.

Pourquoi une réglementation de conformité PCI-DSS est-elle requise?

Les transactions financières sont soumises à des risques, qu'il s'agisse d'espèces ou de cartes. Pour les transactions en espèces, la sécurité physique est cruciale. Pour les transactions par carte, la sécurité des données est au premier plan et la sécurité physique passe à l'arrière. La carte de paiement peut être de crédit ou de débit. Si les données financières et personnelles de la carte de paiement sont sécurisées, cela empêchera les transactions fruadulentes.

Si les données de la carte de paiement ne sont pas sécurisées:

  • Le client peut perdre de l'argent.
  • Les commerçants et les institutions financières perdront en crédibilité, à leur tour en affaires.
  • Cela entraînera des poursuites pénales et des amendes.

Ainsi, l'industrie des cartes de paiement a pris l'initiative de réglementer la transaction de données de carte avec des normes de sécurité des données.

Les principaux acteurs de l'industrie des données de carte Visa, Master Card, American Express, Discover et JCB ont formé une alliance en 2006 pour créer un conseil des normes de sécurité pour l'industrie des cartes de paiement. Le conseil a formulé les normes de sécurité pour toutes les données impliquées dans la transaction par carte de paiement. La conformité PCI-DSS (PCI DSS Compliance Firewall) s'applique à toutes les entités impliquées dans la transaction par carte de paiement. Le règlement couvre les petits, moyens et grands commerçants, les banques et les institutions financières impliquées dans les transactions par carte sont régies par le PCI-DSS. Pour les développeurs d'applications logicielles, il s'agit de PCI PA-DSS. Pour les vendeurs de points de vente et les fabricants de matériel, il s'agit de PCI-PTS. Parmi ceux-ci, PCI-DSS est important car il régit un grand nombre d'entités. Ces entités sont impliquées dans des millions de transactions par carte.

Quelles données de carte de paiement à sécuriser?

Les voleurs de données recherchent le titulaire de la carte et les données d'authentification.

Données du titulaire de la carte

  • Numéro de compte principal (PAN)
  • Nom du titulaire
  • Date d'expiration
  • Code de service

Données d'authentification sensibles

  • Données de piste complètes (données de piste magnétique ou équivalentes sur une puce)
  • CAV2/CVC2/CVV2/CID
  • PIN / blocs PIN

Toutes les personnes impliquées dans la transaction par carte de paiement doivent s'assurer que les données sont sécurisées. Pour sécuriser les données, le conseil de sécurité PCI-DSS a mis au point un ensemble d'exigences à respecter.

Que couvre la conformité PCI DSS?

Le PCI-DSS a 12 exigences et procédures de test couvrant les composants techniques et opérationnels.

Que réaliserComment y parvenir
Construire et maintenir un réseau sécurisé
  1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de carte.
  2. N'utiliser pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.
Protéger les données des titulaires de carte
  1. Protéger les données stockées des titulaires de carte.
  2. Crypter la transmission des données des titulaires de carte sur des réseaux publics ouverts.
Maintenir un programme de gestion des vulnérabilités
  1. Utiliser et mettre à jour régulièrement des logiciels ou des programmes antivirus.
  2. Développer et maintenir des systèmes et des applications sécurisés.

Mettre en œuvre de solides mesures de contrôle d'accès
  1. Restreindre l'accès aux données des titulaires de carte aux besoins de l'entreprise.
  2. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur.
  3. Restreindre l'accès physique aux données des titulaires de carte.
Surveiller et tester régulièrement les réseaux
  1. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
  2. Tester régulièrement les systèmes et processus de sécurité.
Maintenir une politique de sécurité de l'information
  1. Maintenir une politique qui traite de la sécurité des informations pour les employés et les sous-traitants.

 

Il s'agit d'un processus en trois étapes (Comment obtenir la conformité PCI DSS?) pour sécuriser les données du titulaire de la carte pour toute organisation.

Elles sont:

  • Évaluer

Au cours de cette étape, identifiez les données du titulaire de la carte, faites l'inventaire des actifs informatiques et du processus commercial des cartes de paiement, et analysez la vulnérabilité.
Pour évaluer, il existe des évaluateurs de sécurité qualifiés. Choisissez un évaluateur disponible à proximité. Pour les petits commerçants et fournisseurs de services, le questionnaire d'auto-évaluation (SAQ) est suffisant.

  • Remédier

Corrigez la vulnérabilité et ne stockez pas les données du titulaire de la carte sauf si cela est absolument nécessaire.
Assurez-vous que la conformité est surveillée en permanence. La surveillance périodique peut avoir des vides pour le vol de données.

  • Rapport

Compilez et soumettez les rapports de conformité PCI DSS à la marque de carte ou à la banque en vigueur.
Le conseil de sécurité PCI-DSS n'applique pas la conformité du pare-feu PCI DSS. Ce ne sont que les marques de cartes ou la banque.

Comment Firewall Analyzer facilite votre conformité PCI-DSS

Firewall Analyzer surveille en permanence le réseau pour vérifier la conformité du pare-feu PCI-DSS (configuration du pare-feu conforme PCI). Le  rapport de conformité PCI du pare-feu peut être extrait à tout moment pour répondre aux exigences d'audit. Vous pouvez également planifier des rapports de pare-feu PCI et les enregistrer pour de futures références, garantissant ainsi un pare-feu conforme PCI DSS (pare-feu conforme PCI). Reportez-vous aux exigences de conformité PCI-DSS couvertes par Firewall Analyzer .