BLOG

Changements importants dans la norme PCI DSS 4.0.1 que vous devez connaître

Miniature d'Udo Blücher
Udo Blücher
Publié le 30 juillet 2024

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) v3.2.1 n’a-t-elle pas expiré le 31 mars 2024 et n’a-t-elle pas été remplacée par la norme PCI DSS v4.0 ?

Oui et oui.

Mais pour répondre aux commentaires et aux questions reçus après la publication de la norme PCI DSS v4.0, le PCI Security Standards Council (PCI SSC) a décidé de publier une révision limitée de la norme : Norme PCI DSS v4.0.1. (Lorsque la norme PCI DSS v4.0 sera retirée le 31 décembre 2024, la v4.0.1 deviendra la seule norme active prise en charge par PCI SSC.) 

La norme PCI DSS v4.0.1 comporte plusieurs modifications importantes que vous devez connaître lorsque vous mettez à jour ou développez la sécurité et la conformité des transactions. Par souci de concision, ce blog couvrira les changements et les mises à jour abordés par les solutions de sécurité des applications et des API de F5. Vous pouvez trouver une liste plus complète des changements sur le site Web du PCI SSC

Les mises à jour les plus pertinentes incluses dans PCI DSS v4.0.1 visent à apporter des éclaircissements concernant la portée des exigences de sécurité côté client.

Qui est responsable de quoi ?

Exigence 6.4.3

Cette exigence stipule que tous les scripts de page de paiement qui sont chargés et exécutés dans le navigateur du consommateur doivent être gérés comme suit :

  • Une méthode est implémentée pour confirmer que chaque script est autorisé.
  • Une méthode est implémentée pour assurer l'intégrité de chaque script.
  • Un inventaire de tous les scripts est maintenu avec une justification commerciale ou technique écrite expliquant pourquoi chacun est nécessaire.

En règle générale, les commerçants s'appuient sur des prestataires de services de paiement ou des prestataires de services tiers (PSP ou TPSP) pour le traitement des paiements, qui détermine la méthode par laquelle un consommateur paie les biens ou les services acquis. Cette exigence PCI a entraîné une confusion concernant le modèle de responsabilité régissant les scénarios dans lesquels les commerçants utilisaient des cadres en ligne PSP/TPSP (iframes) contenant la page de paiement. Un iframe est essentiellement une petite page Web rendue pour une fonctionnalité spécifique. Des scripts peuvent également s'exécuter dessus, ce qui rend l'iframe vulnérable aux mêmes risques que les pages Web parentes. Par conséquent, les iframes doivent-ils suivre les mêmes exigences PCI que les pages parentes ?

La mise à jour v4.0.1 précise que les marchands sont responsables du script exécuté uniquement sur leur propre page (la page parent) et non de ceux exécutés sur les iframes PSP/TPSP.

Bonnes pratiques : Il est de la responsabilité du commerçant de travailler avec le fournisseur pour les pages iframes PSP/TPSP afin de garantir qu'elles sont conformes et sécurisées. Si le commerçant ne remplit pas cette exigence, il s'expose à un problème de fraude au paiement, ce qui entraîne une perte d'activité et un contrôle approfondi de la part de PCI.

Exigence 11.6.1

Des clarifications similaires ont été incluses autour de l’exigence 11.6.1, en mettant l’accent sur le système d’impact sur la sécurité des en-têtes et des scripts HTTP reçus par le navigateur consommateur. Il s’agit d’un changement important, car la norme PCI indique clairement qu’elle se concentre sur les risques associés à cette exigence, plutôt que d’exiger une protection plus large pour les incidents d’en-tête et de script HTTP sans rapport avec la sécurité.

Il existe également des mises à jour concernant le modèle de responsabilité pour les iframes intégrés PSP/TPSP, précisant que le commerçant est responsable uniquement de la page Web parent et que le fournisseur PSP/TPSP est responsable des en-têtes et scripts HTTP ayant un impact sur la sécurité rendus dans ses iframes.

 

Le temps presse

À moins de neuf mois de la date limite de mars 2025 pour la mise en œuvre des nouvelles exigences, les organisations doivent gérer toutes les complexités liées aux changements proposés et à la conformité à la norme PCI DSS v4.0.1.

 

F5 et PCI DSS v4.0.1

F5 Distributed Cloud Web App and API Protection (WAAP) , Distributed Cloud Bot Defense , Distributed Cloud Client-Side Defense et Mobile App Security Suite de F5 Distributed Cloud Services constituent la base de la protection de l'ensemble des transactions interentreprises. Pour les scripts côté client, Distributed Cloud Client-Side Defense peut fournir une visibilité et un contrôle pour permettre la conformité. F5 Distributed Cloud Services est actuellement conforme à la norme PCI DSS v4.0 et fait l'objet d'audits de conformité auprès d'un cabinet d'audit agréé selon un calendrier précis. Les organisations doivent être conformes à la norme PCI DSS v4.0.1 d'ici le 1er janvier 2025 et les questionnaires d'auto-évaluation doivent être mis à jour pour refléter cela.

Enfin et surtout, les organisations soumises aux exigences PCI DSS peuvent s'attendre à des modifications de la documentation suivante au cours des prochains trimestres civils : 

  • Questionnaires d'auto-évaluation (SAQ)
  • Rapport de conformité (ROC)
  • Attestations de conformité (AOC)

Bonnes pratiques : Consultez https://blog.pcisecuritystandards.org pour connaître les mises à jour ou les révisions des normes et discutez-en avec votre auditeur PCI DSS pour vous assurer que votre organisation est sur la bonne voie pour répondre aux exigences PCI DSS.

Pour en savoir plus, visitez f5.com/products/distributed-cloud-services .