La norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) a été introduite pour la première fois en 2004 par les géants des cartes de crédit American Express, MasterCard, Visa et Discover. Depuis lors, la norme a fait l'objet de diverses mises à jour et modifications, toutes destinées à protéger les informations relatives aux cartes de paiement et à renforcer les contrôles de sécurité sur les données confidentielles. La version la plus récente de la norme PCI-DSS a été publiée le 31 mars 2022 et contient d'importants ajouts à la version existante du mandat de conformité des données des titulaires de cartes.
Au fil des ans, il y a eu de nombreux cas où le respect de la norme PCI-DSS aurait facilement permis d'éviter un grand nombre de violations de cartes de crédit - la violation d'Equifax en 2017 en est un bon exemple.
Avant d'examiner comment vous pouvez éviter des situations similaires et les changements notables de la norme PCI-DSS 4.0, jetons un bref coup d'œil à ce qui suit :
- Quelle est la norme réglementaire ?
- Quelles sont les exigences de la norme PCI-DSS ?
- Pourquoi vous devez être conforme à la norme PCI-DSS
- Que se passe-t-il en cas de non-conformité ?
- Quels sont les protocoles d'évaluation ?
- Comment utiliser une solution SIEM pour se conformer à la norme PCI-DSS
Qu'est-ce que la norme PCI-DSS ?
PCI-DSS est un ensemble de mesures et de protocoles de sécurité standard qui doivent être adoptés par toute entreprise traitant des données de cartes de paiement. Il est supervisé par le Conseil des normes de sécurité PCI, ou PCI SSC, avec plusieurs autres normes qui travaillent ensemble pour aider à protéger les informations confidentielles de l'utilisateur de la carte de paiement. La norme PCI-DSS vise à favoriser un environnement sécurisé pour le stockage, la transmission ou le traitement des données des cartes de paiement. Le conseil s'y emploie par le biais des 12 exigences regroupées dans les six objectifs de la norme PCI-DSS.
Pourquoi est-ce important ?
Outre les problèmes de sécurité des données, PCI-DSS fait partie d'un système de contrôles mis en place par les sociétés de cartes de crédit à une époque où chacune d'entre elles disposait de systèmes distincts pour lutter contre la fraude et les violations de la loi sur les cartes de crédit. Visa a été l'une des premières sociétés à créer un ensemble de normes, et les autres ont rapidement suivi avec des politiques individuelles. Chacune des sociétés émettrices de cartes de crédit disposait d'un ensemble de protocoles distincts, ce qui signifiait que les commerçants devaient respecter plusieurs normes de conformité différentes. L'augmentation du nombre de tentatives et de cas de fraude a incité les sociétés de cartes de crédit à s'unir pour créer un ensemble commun de protocoles de sécurité.
Être conforme à la norme PCI-DSS ne signifie pas seulement que l'on évite les frais de non-conformité ou que l'on dispose d'un minimum de contrôles pour protéger les données des cartes de paiement. Cela signifie également que les organisations respectent un ensemble de normes visant à résoudre et à prévenir les problèmes courants rencontrés lors de l'acceptation de paiements par carte de crédit.
Le respect d'une norme de sécurité réputée telle que PCI-DSS permet non seulement de sécuriser les données confidentielles des cartes de paiement traitées par les commerçants, mais aussi de s'assurer que les meilleures pratiques sont suivies pour créer un environnement cybersécurisé global pour toutes les informations traitées, qu'elles soient financières ou autres.
Que se passe-t-il si vous n'êtes pas conforme à la norme PCI-DSS ?
La non-conformité à la norme PCI-DSS a plusieurs conséquences. On pourrait penser que la pire est la perte de revenus de l'entreprise en raison des pénalités de non-conformité, qui peuvent coûter très cher : jusqu'à 500 000 dollars de pénalité.
Pour les petites et moyennes entreprises, l'amende peut entraîner une atteinte à la réputation de l'organisation, une perte de chiffre d'affaires, voire l'arrêt des activités et, en fin de compte, la faillite.
Les grandes entreprises qui ont payé les amendes pour non-conformité ont également déboursé une fortune en frais juridiques.
Quels sont les changements apportés par la dernière version ?
Si les contrôles fondamentaux et les objectifs restent les mêmes, la quatrième version, qui semble s'aligner sur le cadre du NIST, met également l'accent sur l'importance de la gestion des identités et des accès pour sécuriser les données des cartes de paiement. Elle souligne l'importance des protocoles d'authentification tels que le MFA pour garantir la sécurité du nuage et utilise les directives du NIST en matière de mots de passe.
L'aspect le plus important de la nouvelle version pour les entreprises qui traitent des données de cartes de paiement est la mise en œuvre personnalisée de protocoles alternatifs. Au départ, les entreprises devaient passer par un processus lourd et coûteux pour proposer une alternative viable aux contrôles de sécurité mis en place par la norme PCI-DSS ; il s'agissait des contrôles compensatoires. La norme PCI-DSS 4.0 introduit deux façons de mettre en œuvre les 12 contrôles : L'approche définie, qui était suivie précédemment, et l'approche personnalisée, qui donne aux entreprises la liberté de trouver une alternative aux protocoles énumérés, à condition que l'organisation ait mis en place de solides processus de gestion des risques.
Comment fonctionne le processus d'évaluation PCI-DSS ?
Les entreprises sont réparties en plusieurs niveaux en fonction du nombre de transactions par carte de paiement qu'elles traitent chaque année.
Niveau 1 : comprend les organisations qui traitent plus de six millions de transactions.
Niveau 2 : comprend les organisations qui traitent entre un et six millions de transactions.
Niveau 3 : organisations qui traitent entre 20 000 et un million de transactions
Niveau 4 : comprend les organisations qui traitent moins de 20 000 transactions.
En fonction du niveau auquel elle appartient, chaque entreprise est tenue de respecter certains protocoles de conformité. Les entreprises ou les commerçants qui relèvent du niveau 1 doivent se soumettre à un audit réalisé par un évaluateur de sécurité qualifié (QSA), qui établira un rapport de conformité (RdC). Ce rapport est ensuite envoyé à la banque acquéreuse de l'entreprise, qui le transmet ensuite à la société de cartes de crédit concernée.
Les entreprises qui relèvent des niveaux 2 à 4 peuvent valider leur conformité à la norme PCI-DSS en soumettant un questionnaire d'auto-évaluation (SAQ) ou un RdC.
Obtenir la conformité PCI-DSS avec Log360
Comme indiqué précédemment, les entreprises doivent se conformer à 12 exigences de la norme PCI-DSS :
- Disposer d'applications de sécurité et en assurer la maintenance
- Protéger les données stockées sur les cartes de paiement des clients
- Contrôler l'accès aux données et au réseau
- Ajouter des mesures de contrôle d'accès strictes
En outre, les entreprises doivent également produire des rapports d'audit sur ces exigences afin de réaliser les évaluations nécessaires prévues par le mandat.
Une solution SIEM telle que ManageEngine Log360 vous aide à suivre vos applications de sécurité grâce à une surveillance continue des journaux provenant de sources de données telles que les pare-feu, les commutateurs et les routeurs, et grâce à des alertes automatiques de violation de la conformité qui s'affichent immédiatement sur votre téléphone et par e-mail à chaque fois qu'il y a une activité suspecte et des changements d'audit dans les paramètres de sécurité critiques. Log360 peut également vous aider à surveiller et à analyser les accès des utilisateurs privilégiés et des administrateurs en générant des tableaux de bord basés sur leur comportement d'utilisateur.
La meilleure partie de Log360 est ses rapports d'audit prêts à l'emploi qui peuvent être générés en quelques clics. Les rapports d'audit vous aident à rester au courant des exigences de conformité cruciales sans les tracas des rapports de conformité.
Pour commencer avec la conformité PCI-DSS avec Log360, téléchargez un essai gratuit ou contactez nos experts en produits pour une démonstration personnalisée du produit.