Qu'est-ce que la norme PCI DSS ? Présentation, exigences et avantages

La norme PCI DSS a été développée pour encourager et améliorer la sécurité des données des comptes de paiement et faciliter l’adoption généralisée de mesures de sécurité des données cohérentes à l’échelle mondiale. La norme PCI DSS fournit une base d'exigences techniques et opérationnelles conçues pour protéger les données des comptes de paiement et protéger les consommateurs et les entreprises contre la fraude financière et les atteintes à la réputation.

L’un des objectifs principaux de la norme PCI DSS est de protéger les données des titulaires de cartes contre tout accès non autorisé et toute utilisation abusive potentielle. Cela inclut les numéros de compte principaux, les noms des titulaires de carte, les dates d’expiration et d’autres informations sensibles. La norme vise également à minimiser le risque de violation de données, qui pourrait entraîner un accès non autorisé ou un vol d’informations de carte de paiement. En mettant en œuvre les contrôles PCI DSS, les organisations contribuent également à prévenir et à détecter les activités frauduleuses liées aux transactions par carte de paiement.

Il est important de noter que les exigences PCI DSS évoluent au fil du temps pour répondre aux nouvelles menaces de sécurité, aux avancées technologiques et aux changements dans le paysage réglementaire. Retrouvez les dernières exigences sur le site Web du PCI Security Standard Council .

La conformité PCI DSS exige que les organisations traitent une série de vulnérabilités potentielles pour garantir la sécurité des données des titulaires de cartes. Voici quatre domaines de vulnérabilité courants que les organisations doivent traiter pour maintenir la conformité PCI DSS.

• Systèmes de point de vente (POS) : Les systèmes de point de vente traitent des données de cartes de paiement sensibles lors des transactions et sont sensibles à diverses vulnérabilités pouvant conduire à des violations de données et à des accès non autorisés. De nombreux systèmes de point de vente fonctionnent sur du matériel et des logiciels obsolètes qui peuvent ne pas recevoir de mises à jour de sécurité régulières, exposant ainsi des vulnérabilités que les attaquants peuvent exploiter. Les noms d’utilisateur et mots de passe faibles ou par défaut sur les systèmes POS peuvent également être exploités par des attaquants. De plus, les systèmes POS impliquent souvent également des intégrations tierces. Si ces fournisseurs tiers ont des pratiques de sécurité faibles ou s’il existe des vulnérabilités dans la chaîne d’approvisionnement, ceux-ci peuvent introduire des risques pour l’ensemble du système.
• Réseaux sans fil non sécurisés : Ils peuvent constituer un point d'entrée potentiel permettant aux attaquants de compromettre les données sensibles des titulaires de cartes, car les réseaux sans fil non sécurisés peuvent être facilement consultés par des personnes non autorisées pour se connecter aux systèmes de point de vente et à d'autres appareils gérant les informations des cartes de paiement. De plus, le trafic sans fil peut manquer de cryptage, exposant les données transmises à l’interception et à l’écoute clandestine.
• Faiblesse des contrôles d'accès et de l'authentification : Lorsque les contrôles d’accès ne sont pas robustes, des personnes non autorisées peuvent accéder à des ressources sensibles, augmentant ainsi le risque de violations de données, d’activités non autorisées et d’autres incidents de sécurité. Par exemple, le recours à des mots de passe simples sans exigences de complexité ou à des comptes d’utilisateurs mal gérés qui ne vérifient pas efficacement l’identité des utilisateurs peut conduire à la visualisation, à la modification ou à l’exfiltration non autorisée d’informations de paiement sensibles. La norme PCI DSS met également l’accent sur l’utilisation de l’authentification multifacteur (MFA) pour améliorer la sécurité des contrôles d’accès. Les utilisateurs et les systèmes doivent bénéficier du niveau minimum d’accès ou d’autorisations requis pour effectuer leurs tâches, selon le principe du moindre privilège. Les droits d’accès doivent être adaptés aux rôles, responsabilités et fonctions spécifiques du poste.
• Cryptage, tokenisation et stockage de données inadéquats : L’absence de mise en œuvre de mesures robustes de cryptage, de tokenisation et de stockage sécurisé des données peut entraîner une non-conformité à la norme PCI DSS et augmenter le risque de violation de données et de compromission des informations sensibles des cartes de paiement. Le cryptage de bout en bout garantit que les informations de paiement sensibles sont cryptées au point d'entrée (au point de vente) et restent cryptées tout au long de leur parcours à travers divers systèmes et réseaux jusqu'à ce qu'elles atteignent leur destination, où le destinataire utilise la clé correcte pour décrypter les données. Alternativement, les informations de paiement peuvent être tokenisées, un processus qui consiste à remplacer les données sensibles, telles que les numéros de carte de crédit, par des valeurs d'espace réservé non sensibles appelées jetons. Lorsqu'une transaction de paiement se produit, les données réelles du titulaire de la carte sont remplacées par un jeton unique qui n'a aucune valeur intrinsèque et est inutile pour les attaquants n'ayant pas accès au système de tokenisation. Le cryptage et la tokenisation contribuent tous deux à empêcher l’écoute clandestine ou l’interception par des acteurs malveillants et à maintenir la confidentialité des données des titulaires de cartes.

La norme PCI DSS impose une base d'exigences techniques et opérationnelles conçues pour protéger les données des comptes de paiement. Ces exigences sont détaillées dans les six principes PCI DSS suivants.

1. Construire et entretenir un réseau et des systèmes sécurisés

La protection des données des titulaires de cartes commence par la mise en place d’une infrastructure réseau sécurisée. Cela inclut l’utilisation de pare-feu pour contrôler et surveiller le trafic entre les réseaux et pour restreindre les accès non autorisés. La microsegmentation est une autre stratégie de sécurité recommandée qui consiste à diviser un réseau en petits segments distincts pour améliorer la sécurité en contrôlant le trafic latéral « est-ouest » au sein du réseau et au niveau de l’application ou de la charge de travail pour réduire la surface d’attaque potentielle. L’établissement de bonnes pratiques de gestion des vulnérabilités est également essentiel pour garantir que les systèmes sont corrigés et à jour.

2. Protéger les données du titulaire de la carte

Ce principe met l’accent sur le cryptage et la protection des données du titulaire de la carte pendant la transmission et le stockage afin d’empêcher tout accès non autorisé aux informations sensibles. Cette exigence impose l’utilisation d’une cryptographie forte pour protéger les données des titulaires de cartes lors de leur transmission sur les réseaux publics et l’élaboration de politiques de conservation des données qui évitent le stockage de données d’authentification sensibles après autorisation. Les politiques de protection des données imposent également le masquage ou la troncature des numéros de compte principaux (PAN) afin de minimiser le risque d’accès non autorisé et d’exposition des informations sensibles des titulaires de carte. Conformément aux exigences PCI DSS, les six premiers et les quatre derniers chiffres d'un PAN constituent le nombre maximal de chiffres affichés lorsque le PAN est visible.

3. Maintenir un programme de gestion des vulnérabilités

Maintenir un environnement sécurisé nécessite d’identifier et de traiter régulièrement les vulnérabilités. Cela comprend la réalisation d'analyses de vulnérabilité régulières, qui alertent les entreprises des failles préexistantes dans leur code, et des tests de pénétration, qui déterminent si un accès non autorisé ou une autre activité malveillante est possible en simuler des attaques réelles pour tester l’efficacité des mesures de sécurité existantes. Il est essentiel de remédier rapidement à toute faiblesse détectée lors d’analyses ou de tests afin de se protéger contre une éventuelle compromission des systèmes et des données des titulaires de cartes qu’ils peuvent contenir . En outre, les organisations sont tenues d’élaborer et d’appliquer des directives de codage sécurisé, telles que celles décrites par des organisations comme l’OWASP , pour empêcher l’introduction de vulnérabilités au cours du cycle de vie du développement logiciel.

4. Mettre en œuvre des mesures de contrôle d’accès strictes

La restriction de l’accès aux composants du système et aux données des titulaires de cartes permet d’empêcher l’accès aux personnes ou aux systèmes non autorisés. La norme PCI DSS impose de limiter l'accès en fonction des besoins métier, souvent appelé principe du moindre privilège, qui stipule qu'un utilisateur ou un système ne doit avoir accès qu'aux données, ressources et applications spécifiques nécessaires pour accomplir une tâche requise. De même, les contrôles d’accès basés sur les rôles (RBAC) limitent l’accès au système aux utilisateurs autorisés en fonction de leurs rôles au sein d’une organisation. Ces politiques exigent que les contrôles d’accès soient fréquemment révisés et mis à jour pour refléter les changements de personnel et de rôles. Ils appellent également à la mise en œuvre de l’authentification multifacteur pour l’accès aux systèmes et aux données des titulaires de cartes, ainsi qu’à l’amélioration des politiques et des meilleures pratiques en matière de mots de passe.

5. Surveiller et tester régulièrement les réseaux

Une surveillance et des tests continus sont essentiels pour détecter et répondre rapidement aux incidents de sécurité. Cela implique la mise en œuvre de mécanismes de journalisation, la réalisation de tests de sécurité réguliers et un examen continu de l’activité du réseau. Les outils de surveillance du réseau incluent également des systèmes de détection d’intrusion (IDS) et des systèmes de prévention d’intrusion (IPS) qui analysent et évaluent l’intégrité du trafic réseau pour identifier les modèles d’attaque, les activités anormales et les utilisations non autorisées. Les organisations doivent également établir un plan de réponse aux incidents et des procédures d’urgence et s’assurer que ces processus sont régulièrement testés.

6. Maintenir une politique de sécurité de l'information

La norme PCI DSS exige également que les organisations établissent et maintiennent une politique de sécurité complète qui définit le cadre de protection des données des titulaires de cartes et guide les pratiques de sécurité au sein de l'organisation. La politique doit être documentée, régulièrement revue et mise à jour pour refléter les changements dans la technologie et les processus commerciaux. Les organisations doivent également s’assurer que les employés sont informés et formés aux politiques et procédures de sécurité.

Le respect des 12 exigences PCI DSS suivantes est essentiel pour les organisations afin de créer une posture de sécurité robuste, de protéger les données des titulaires de cartes et de minimiser le risque de violation de données.

1. Installer et maintenir les contrôles de sécurité du réseau. Les contrôles de sécurité réseau (NSC), tels que les pare-feu et autres technologies de sécurité réseau, sont des points d'application de la politique réseau qui contrôlent généralement le trafic réseau entre deux ou plusieurs segments de réseau logiques ou physiques (ou sous-réseaux). Les NSC agissent comme une barrière entre le réseau interne sécurisé et les réseaux externes, et contrôlent le trafic entrant et sortant en fonction de règles ou de politiques de sécurité prédéterminées pour aider à empêcher l'accès non autorisé aux données des titulaires de cartes.
2. Appliquer des configurations sécurisées à tous les composants du système. La modification des configurations par défaut garantit que les systèmes sont configurés de manière sécurisée dès le départ en réduisant le risque d'accès non autorisé, car les mots de passe et les paramètres par défaut sont bien connus des attaquants. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.
3. Protégez les données stockées des titulaires de cartes. Les organisations sont tenues de crypter les données des titulaires de cartes stockées pour les protéger contre tout accès non autorisé, même en cas de violation, rendant les données volées illisibles sans les clés de décryptage appropriées.
4. Protégez les données du titulaire de la carte avec une cryptographie renforcée lors de la transmission sur des réseaux publics ouverts. Cela protège contre les écoutes clandestines et les accès non autorisés lors de la transmission de données.
5. Protégez tous les systèmes et réseaux contre les logiciels malveillants. Les mises à jour régulières des logiciels antivirus et l’utilisation d’outils anti-malware aident à prévenir, détecter et supprimer les logiciels malveillants, réduisant ainsi le risque de compromission.
6. Développer et maintenir des systèmes et des logiciels sécurisés. Développez des applications en gardant à l’esprit la sécurité en soulignant l’importance des pratiques de codage sécurisées et de la maintenance continue des systèmes et des applications. Mettez à jour et corrigez régulièrement les logiciels pour aider à corriger les vulnérabilités qui peuvent être exploitées par les attaquants.
7. Limitez l'accès aux composants du système et aux données des titulaires de cartes en fonction des besoins de l'entreprise. Les contrôles d’accès limitent l’accès aux données des titulaires de carte aux seules personnes dont le travail l’exige. Cela réduit le risque d’accès non autorisé et aide les organisations à adhérer au principe du moindre privilège.
8. Identifier les utilisateurs et authentifier l’accès aux composants du système. Attribuez des identifiants uniques et des mots de passe forts pour authentifier les utilisateurs. Cela permet de garantir que seules les personnes autorisées peuvent accéder aux données du titulaire de la carte. L’authentification multifacteur peut ajouter une couche de sécurité supplémentaire.
9. Restreindre l’accès physique aux données du titulaire de la carte. Les contrôles d’accès physique, tels que les restrictions d’entrée et la surveillance, aident à empêcher les personnes non autorisées d’accéder physiquement aux systèmes qui stockent les données des titulaires de cartes.
10. Enregistrez et surveillez tous les accès aux composants du système et aux données des titulaires de carte. Les fichiers journaux, les systèmes de détection/prévention des intrusions et d’autres outils de suivi contribuent à une surveillance continue efficace, permettant aux organisations de détecter et de répondre rapidement aux activités suspectes.
11. Testez régulièrement la sécurité des systèmes et des réseaux. Les tests proactifs, y compris les évaluations de vulnérabilité et les tests de pénétration, aident à identifier et à corriger les faiblesses de sécurité avant que les attaquants ne puissent les exploiter.
12. Soutenir la sécurité de l’information avec les politiques et programmes organisationnels. Mettre en œuvre une politique de sécurité complète pour une conformité continue qui établit les règles et les directives pour la protection des données des titulaires de carte et s'assurer que tout le personnel est conscient, formé et adhère à cette politique.

Les niveaux de conformité PCI sont divisés en quatre niveaux en fonction du volume total de transactions par carte de crédit, de débit et de carte prépayée sur 12 mois. Les organisations doivent déterminer avec précision leur volume de transactions et se conformer aux exigences du niveau correspondant pour garantir et maintenir la conformité PCI DSS. Maintenir le niveau de conformité approprié est essentiel pour sécuriser les transactions de commerce électronique, maintenir un environnement sécurisé pour les données des titulaires de cartes et prévenir les violations potentielles.

Niveau 1 : Entreprises réalisant plus de 6 millions de transactions par an

Le niveau de conformité PCI 1 est le niveau PCI DSS le plus élevé et le plus strict et est conçu pour garantir le plus haut niveau de sécurité pour les entreprises qui stockent, transmettent ou traitent des données de cartes de crédit. De plus, les commerçants et les prestataires de services de toute taille qui ont été exposés à une violation ou à une cyberattaque entraînant la compromission des données de carte de crédit ou de titulaire de carte doivent satisfaire aux exigences PCI de niveau 1. La validation PCI de niveau 1 nécessite un rapport annuel de conformité (ROC) par un évaluateur de sécurité qualifié (QSA) ou un évaluateur de sécurité interne, et impose généralement également des tests de pénétration, qui impliquent la simulation de cyberattaques réelles sur des systèmes informatiques et des applications pour identifier les vulnérabilités. La validation PCI de niveau 1 nécessite également une analyse trimestrielle du réseau par un fournisseur d'analyse agréé (ASV).

Niveau 2 : Entreprises avec 1 à 6 millions de transactions par an

Les commerçants PCI DSS de niveau 2 doivent procéder à une évaluation de conformité une fois par an à l'aide d'un questionnaire d'auto-évaluation (SAQ) et effectuer des analyses trimestrielles du réseau par un ASV. Ils doivent également remplir le formulaire d'attestation de conformité (AOC). Comme pour le niveau 1, certains commerçants de niveau 2 peuvent être tenus d’effectuer des tests de pénétration. Un audit PCI DSS sur site n'est pas requis pour les commerçants de niveau 2, sauf s'ils ont subi une violation de données ou une cyberattaque compromettant les données de carte de crédit ou de titulaire de carte.

Niveau 3 : Entreprises réalisant entre 20 000 et 1 million de transactions de commerce électronique par an

Les commerçants PCI DSS de niveau 3 doivent remplir le questionnaire SAQ annuel approprié et effectuer une analyse trimestrielle du réseau par un ASV. Le commerçant doit également remplir et soumettre un formulaire AOC.

Niveau 4 : Entreprises réalisant moins de 20 000 transactions de commerce électronique ou jusqu'à 1 million d'autres transactions par an

Les commerçants PCI de niveau 4 doivent remplir le SAQ annuel approprié, et une analyse trimestrielle de sécurité du réseau externe ASV peut être requise. Le commerçant doit également remplir et soumettre un formulaire AOC. Tous les fournisseurs de cartes ne disposent pas de désignations de niveau 4.

Le respect des 12 exigences PCI DSS est essentiel pour renforcer la sécurité des données et contribuer à la conformité globale. Ces exigences fonctionnent ensemble pour créer un cadre complet pour protéger les données des titulaires de cartes et prévenir les failles de sécurité.

La conformité PCI DSS démontre un engagement à sécuriser les données sensibles des titulaires de cartes, en garantissant aux clients que les détails de leur carte de crédit sont traités avec les normes de sécurité les plus élevées et en favorisant la confiance dans la capacité de l'entreprise à protéger leurs informations personnelles. De plus, les entreprises qui adhèrent à la norme PCI DSS sont mieux placées pour se défendre contre les actions en justice et les sanctions réglementaires liées à une sécurité inadéquate des données.

Le maintien de la conformité PCI DSS offre d’autres avantages à long terme à mesure que les environnements technologiques et de sécurité évoluent. Le respect des exigences PCI DSS signifie que les organisations restent vigilantes et sont mieux équipées pour prévenir les attaques avancées et sophistiquées et peuvent s'adapter plus rapidement à l'évolution des cybermenaces. L’adhésion à la norme PCI DSS favorise également une culture centrée sur la sécurité au sein d’une organisation qui va au-delà de la conformité, encourageant les efforts continus pour renforcer les pratiques de sécurité des données.

À titre d’exemple de la manière dont la norme PCI DSS peut contribuer à renforcer (et à rétablir) la confiance des clients, en 2012, Global Payments, une importante société de traitement des paiements, a connu une violation de données qui a entraîné un accès non autorisé à des informations sensibles sur les cartes de paiement. La violation a affecté environ 1,5 million de cartes de crédit et de débit, soulevant des inquiétudes quant à la sécurité des transactions de paiement. Global Payments a pris des mesures immédiates pour contenir la violation et a lancé une enquête pour déterminer l’étendue de la compromission. Les organismes chargés de l’application de la loi, y compris les États-Unis Les services secrets ont été impliqués dans l'enquête.

En réponse à cette violation, Global Payments s'est engagé à améliorer son infrastructure de sécurité et à mettre en œuvre des mesures supplémentaires pour éviter des incidents similaires à l'avenir. L'entreprise s'est également engagée à faire de l'obtention et du maintien de la conformité aux exigences PCI DSS une priorité, ce qui a permis de garantir aux clients et aux parties prenantes que Global Payments prenait des mesures concrètes pour sécuriser les données de paiement.

En s’attaquant de manière proactive aux vulnérabilités de sécurité, en investissant dans des mesures de sécurité renforcées et en obtenant la conformité PCI DSS, Global Payments a démontré son engagement à rétablir la confiance. L’engagement de l’entreprise en matière de transparence, d’investissement dans la sécurité et de conformité à la norme PCI DSS a joué un rôle essentiel dans le rétablissement de la confiance des clients et la reconstruction de sa réputation dans le secteur du traitement des paiements.

Complexité des exigences

L’exécution des 12 exigences PCI DSS peut poser de nombreux défis aux organisations car des ressources adéquates, tant en termes de personnel que de technologie, sont nécessaires pour mettre en œuvre et maintenir la conformité PCI DSS. Les organisations de toutes tailles peuvent avoir du mal à définir et à limiter avec précision la portée de leur mise en œuvre, mais cela est particulièrement difficile pour les petites entreprises disposant de budgets et d'expertise limités, ou pour celles disposant de systèmes hérités qui doivent être mis à jour pour répondre aux normes PCI DSS actuelles. Les entreprises s’appuient souvent sur des fournisseurs tiers pour divers éléments de la mise en œuvre, mais s’assurer que ces fournisseurs se conforment aux exigences PCI DSS et sécurisent la chaîne d’approvisionnement est également une responsabilité majeure.

Maintenance continue

Le maintien de la conformité à la norme PCI DSS est un processus continu qui nécessite une surveillance, des tests et des évaluations réguliers. Cela oblige les organisations à rester vigilantes et à mettre à jour régulièrement leurs mesures de sécurité et leurs politiques de gestion des correctifs. Le maintien de la conformité implique également un engagement continu à tester régulièrement les systèmes et processus de sécurité, notamment en effectuant des tests de pénétration et des évaluations de vulnérabilité approfondis, qui peuvent nécessiter beaucoup de ressources, présenter des défis logistiques et mettre à rude épreuve les ressources au fil du temps.

Conséquences financières

Le paysage de la cybersécurité est en constante évolution, avec des menaces nouvelles et sophistiquées qui émergent régulièrement. La conformité PCI DSS exige que les entreprises surveillent et analysent en permanence le paysage des menaces pour comprendre et anticiper ces risques. L’identification et l’atténuation des vulnérabilités zero-day représentent également un défi important pour maintenir la conformité PCI DSS, car ces vulnérabilités sont des failles de sécurité inconnues que les acteurs de la menace exploitent avant que les fournisseurs n’aient la possibilité de publier des correctifs. L’amélioration continue et l’engagement à rester informé des dernières tendances en matière de sécurité sont essentiels pour relever avec succès les défis liés à l’anticipation des menaces émergentes tout en garantissant que la conformité PCI DSS s’adapte à la nature dynamique des cybermenaces.

Évolution du paysage des menaces

Le paysage de la cybersécurité est en constante évolution, avec des menaces nouvelles et sophistiquées qui émergent régulièrement. La conformité PCI DSS exige que les entreprises surveillent et analysent en permanence le paysage des menaces pour comprendre et anticiper ces risques. L’identification et l’atténuation des vulnérabilités zero-day représentent également un défi important pour maintenir la conformité PCI DSS, car ces vulnérabilités sont des failles de sécurité inconnues que les acteurs de la menace exploitent avant que les fournisseurs n’aient la possibilité de publier des correctifs. L’amélioration continue et l’engagement à rester informé des dernières tendances en matière de sécurité sont essentiels pour relever avec succès les défis liés à l’anticipation des menaces émergentes tout en garantissant que la conformité PCI DSS s’adapte à la nature dynamique des cybermenaces.

Visitez le site Web du PCI Security Standard Council pour obtenir les dernières informations sur les exigences de conformité PCI DSS, les informations de formation et de qualification et l'accès aux professionnels qualifiés PCI. Le site propose également une vaste bibliothèque de ressources comprenant des FAQ, un glossaire et un guide de référence rapide PCI DSS pratique.

La conformité à la norme PCI DSS est essentielle pour les organisations qui gèrent des transactions par carte de crédit, car ses exigences contribuent à garantir la sécurité des données des titulaires de carte, la protection des réseaux de transaction et la surveillance et les tests obligatoires des systèmes de sécurité. F5 propose une suite de produits, de services et de solutions de sécurité des applications pour aider votre organisation à atteindre et à maintenir la conformité PCI DSS. De plus, les services cloud distribués F5 sont conformes à la norme PCI DSS en tant que fournisseur de services de niveau 1.

F5 fournit également un leadership éclairé en matière de stratégies et d'informations sur la sécurité et la protection des applications grâce aux recherches, analyses, blogs et rapports de F5 Labs .