En mars 2022, le Payment Card Industry (PCI) Security Standards Council (SSC) a publié la dernière version de sa norme de sécurité des données , PCI DSS v4.0, et a officiellement retiré PCI DSS v3.2.1 fin mars 2024. PCI DSS est une norme mondiale qui définit les exigences minimales de sécurité techniques et opérationnelles auxquelles doit se conformer toute organisation stockant, traitant ou transmettant des données de carte de paiement.
Représentant une avancée majeure dans la sécurité des données de carte de paiement en concevant une plus grande flexibilité et un meilleur contrôle des risques que les versions précédentes, PCI DSS v4.0 et ses mises à jour (la dernière version de la norme PCI DSS est la v4.0.1) ont fourni les meilleures pratiques à suivre aux organisations. Cependant, dans un peu plus de 3 mois (après le 31 mars 2025), ces « meilleures pratiques » PCI DSS v4.x deviendront des exigences qui seront appliquées à toute évaluation PCI DSS.
La norme PCI DSS v4.x souligne l’importance vitale de sécuriser les données sensibles des titulaires de cartes tout au long du cycle de vie d’une carte de paiement. L’exigence de cryptage, que les données du titulaire de la carte soient en transit ou au repos, souligne l’importance des transactions de paiement et de la protection des données tout en offrant une défense préventive contre les menaces émergentes.
Dans la norme PCI DSS v3.2.1, les organisations avaient la possibilité de protéger les applications Web publiques manuellement ou à l'aide d'outils automatisés d'évaluation de la vulnérabilité des application au moins une fois par an ou après des modifications importantes des application . Ils pourraient également choisir d'installer une solution automatisée devant toute application Web publique pour détecter et prévenir en permanence les attaques Web, configurée pour bloquer ou générer des alertes sur les attaques. Mais la norme PCI DSS v4.x obligera les organisations à déployer une solution devant les applications Web publiques pour détecter, prévenir et générer en permanence une alerte sur les attaques Web (sous-section 6.4.2 de la norme PCI DSS v4.0).
C’est exactement ce que fait un pare-feu application Web (WAF). Un WAF est installé devant les applications publiques pour vérifier le trafic des application , détecter et protéger contre toute attaque Web. Un WAF empêche les attaques de la couche application , y compris les attaques qui peuvent exploiter les vulnérabilités courantes et inconnues des applications et de leur chaîne d'approvisionnement logicielle : le code principal, les bibliothèques tierces, les outils de création et d'autres codes qui composent les applications complexes et sophistiquées d'aujourd'hui. Les WAF protègent également contre les attaques tentant d’exploiter les failles d’implémentation ou de configuration et les attaques automatisées contre les paiements, les informations d’identification et les applications installées.
F5 sécurise n'importe quelle application et API n'importe où. Nos solutions WAF peuvent être déployées devant n'importe quelle application, quel que soit l'endroit où se trouve l' application . Que vous ayez besoin d'un WAF pour protéger les applications sur site, dans des centres de données ou dans le cloud, F5 dispose d'une solution WAF qui offrira une sécurité complète de la couche application et une protection contre les exploits et les attaques. F5 WAF est disponible sous forme d'appliance, de logiciel ou dans le cloud via un service en libre-service ou géré, sécurisant les applications conteneurisées et Kubernetes, et bien plus encore.
Les produits F5 sont certifiés en tant que fournisseur de services PCI DSS de niveau 1 . Un fournisseur de services, tel que défini par PCI SSC , est une organisation qui ne fournit pas de cartes de paiement de marque ou d'autres facteurs de forme, mais qui traite, stocke ou transmet des données de titulaire de carte ou des données d’authentification sensibles pour une autre organisation. Les entreprises fournissant des services de contrôle ou d'impact sur la sécurité des données des titulaires de cartes ou des données d’authentification sensibles, comme F5 via F5 Distributed Cloud Services , sont également classées fournisseurs de services PCI DSS v4.0. Les fonctionnalités du produit F5 aident nos clients à répondre aux exigences PCI DSS en tant que commerçants, définis par le PCI SSC comme toute entité qui accepte les cartes de paiement portant les logos de tout paiement participant marqué comme paiement de biens et/ou de services.
Les services cloud distribués F5 fournissent de nombreux services qui répondent à de nombreuses sections et sous-sections de la norme PCI DSS v4.0 pour les organisations qui stockent, traitent ou transmettent des données de cartes de paiement.
F5 Distributed Cloud WAF sécurise les applications partout : dans les clouds, les centres de données et les emplacements périphériques. En tant que proxy intermédiaire, Distributed Cloud WAF inspecte les demandes et les réponses des application , bloquant et atténuant les risques, y compris les 10 principales catégories OWASP, les campagnes de menaces, les utilisateurs malveillants, les menaces DDoS de couche 7, les robots et les attaques automatisées, pour n'en citer que quelques-uns. Il atténue les attaques et les vulnérabilités des application Web grâce à des contrôles et des politiques de sécurité complets et cohérents, avec une observabilité facile à configurer, déployer, gérer et faire évoluer. F5 Distributed Cloud WAF intègre simplement et de manière transparente la protection dans votre processus de développement d'applications, permettant ainsi des cycles de livraison et de publication application plus rapides et plus sécurisés. En utilisant des techniques de détection basées sur la signature et l'IA avec un réglage automatisé des signatures, F5 Distributed Cloud WAF offre une sécurité de couche application rapide et simple avec une efficacité maximale. Le nouvel assistant IA au sein de Distributed Cloud Services contribue à simplifier la sécurité des applications et des API distribuées grâce à une interface en langage naturel avec des informations en temps réel, des recommandations exploitables et un résumé des rapports de données.
F5 NGINX App Protect est un WAF léger et hautes performances conçu pour protéger les API et les applications modernes dans les architectures distribuées et les environnements hybrides avec une protection cohérente. Indépendant de la plate-forme, NGINX App Protect s'intègre parfaitement à votre processus de développement application , détectant et sécurisant contre les attaques application , y compris les attaques par déni de service (DoS) de couche 7 et les robots. Solution de sécurité des applications puissante et à faible latence, NGINX App Protect vous permet de faire évoluer la sécurité des applications dans les clusters Kubernetes et le cloud, contribuant ainsi à réduire considérablement vos coûts de calcul. Il offre une défense multicouche, atténuant les campagnes de cyberattaques actives et surpassant la protection de catégorie OWASP Top 10.
F5 BIG-IP Advanced WAF est le pare-feu application Web phare de F5. La détection et l’atténuation dans le Advanced WAF primé servent de moteur pour Distributed Cloud WAF et NGINX App Protect. Grâce à l'analyse comportementale, à l'atténuation des attaques DoS de couche 7, au cryptage de la couche application des données sensibles et aux services de renseignement sur les menaces, BIG-IP Advanced WAF protège les applications dans les environnements hybrides distribués contre un éventail d'attaques application . BIG-IP Advanced WAF fournit un tableau de bord dédié et dynamique qui garantit rapidement et simplement la sécurité contre les menaces répertoriées dans le Top 10 de l'OWASP. BIG-IP Advanced WAF inclut des configurations guidées pour les cas d'utilisation WAF courants, un moteur d'apprentissage et permet une personnalisation granulaire des politiques de sécurité.
De plus, F5 peut traiter davantage de domaines applicables à la norme PCI DSS v4.0.
Comme indiqué ci-dessus, F5 vous aidera à répondre à de nombreuses nouvelles exigences de la norme PCI DSS v4.0, quels que soient vos besoins spécifiques et vos priorités environnantes, avant qu'elles ne soient obligatoires d'ici le 31 mars 2025.
Pour plus d’informations sur la capacité de F5 à répondre aux normes PCI DSS v4.0, veuillez consulter les éléments suivants :
Modifications importantes de la norme PCI DSS 4.0.1 que vous devez connaître
L'horloge PCI DSS 3.2.1 a atteint l'heure de minuit... Êtes-vous prêt pour la version 4.0 ?
La défense contre les robots devrait également contribuer à la conformité à la norme PCI DSS
Qu'est-ce que la norme PCI DSS ? Présentation, exigences et avantages
Pour plus d'informations, veuillez contacter votre responsable de compte F5, votre gestionnaire de canal ou votre partenaire de canal F5.