Blog GlobalSign

08 févr. 2017

Qu’est-ce que la conformité PCI DSS ?

L’acronyme PCI DSS (Payment Card Industry Data Security Standard) désigne les normes de sécurité des données applicables à l’industrie des cartes de paiement. Élaborée par le conseil des normes de sécurité PCI, la norme PCI DSS vise à réduire la fraude en ligne. Toute organisation qui traite les données de titulaires de cartes de paiement est tenue de s’y conformer. La conformité est validée par un évaluateur de sécurité homologué, un évaluateur de la sécurité en interne, ou par le biais d’un questionnaire d’auto-évaluation pour les entreprises qui traitent de plus petits volumes de données de cartes bancaires.

La norme PCI DSS est une norme mondiale qui n’est pas obligatoire au regard de la loi aux États-Unis — la réglementation applicable aux données des titulaires de cartes diffère d’un état à l’autre, et la non-conformité se traduit le plus souvent par de lourdes amendes pour l’entreprise concernée.

Pourquoi la norme PCI DSS est-elle si importante ?

En appliquant la norme PCI DSS, votre entreprise indique prendre les mesures appropriées pour protéger les données des titulaires de cartes contre le vol sur Internet et toute utilisation frauduleuse. L’impact est aussi fort pour l’entreprise que pour ses clients, car les conséquences d’une cyberattaque peuvent se traduire par une perte de revenus, de clients et de confiance, sans parler du préjudice pour la marque.

Les violations de données frappent régulièrement les petites entreprises qui sont moins bien loties sur le plan de la sécurité. Au Royaume-Uni par exemple, une enquête réalisée en 2015 sur les violations de la sécurité des informations indiquait que 74 % des petites structures avaient été concernées par une faille de sécurité l’année précédente.

Partant de ce constat, votre entreprise doit assumer la responsabilité de la sécurité des données de ses clients et c’est à vous qu’il appartient de faire le nécessaire pour maintenir ces données en sécurité.

Que dois-je faire pour être en conformité avec la norme PCI DSS ?

Les entreprises qui souhaitent se mettre en conformité avec la norme PCI DSS doivent comprendre la manière dont les données sont récupérées, stockées et organisées. Pour gérer cela, de nombreuses entreprises utiliseront une solution entièrement hébergée.

La conformité est vérifiée par le commerçant ou le fournisseur de services qui procède à un audit de l’environnement des données des titulaires de cartes par rapport à la norme.

Comme le définit la gouvernance des technologies de l’information, «la norme exige que les commerçants et les fournisseurs de services interviennent sur le stockage, le traitement ou la transmission des données des titulaires pour :

  • construire et maintenir un réseau informatique sécurisé ;
  • protéger les données des titulaires ;
  • maintenir un programme de gestion des vulnérabilités ;
  • mettre en place des mécanismes de contrôle d’accès robustes ;
  • surveiller et tester régulièrement les réseaux ;
  • maintenir une politique de sécurité de l’information.»

Ces mesures sont ensuite subdivisées en 12 exigences auxquelles chaque commerçant ou fournisseur de services doit se plier pour être en conformité.

1. Installer et gérer une configuration avec pare-feu pour protéger les données des titulaires de cartes

2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres paramètres de sécurité

3. Protéger les données des titulaires de cartes

Tenez compte des règles, procédures et processus qui régissent la conservation et la suppression des données pour disposer de données toujours à jour et exactes. Certaines données ne doivent jamais être stockées, comme le contenu de la bande magnétique, le numéro de vérification d’une carte ou le numéro d’identification personnel. Les données des titulaires de carte doivent être chiffrées avant d’être stockées.

4. Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts

Il s’agit notamment de la transmission des données par Internet et à l’aide des technologies sans fil comme le Bluetooth, les communications GPRS et satellite.

5. Utiliser et mettre régulièrement à jour un logiciel ou des programmes antivirus

Protégez vos systèmes des malwares et mettez régulièrement à jour vos antivirus pour lutter contre les virus, les vers et les chevaux de Troie. Sauf cas de force majeure, vous devez installer de tels antivirus, les maintenir et vous assurer de leur bon fonctionnement.

6. Développer et maintenir des systèmes et des applications sécurisés

Vérifiez en permanence que vos logiciels sont à jour pour être à l’abri des dernières vulnérabilités.

7. Restreindre l’accès aux données des titulaires aux seules personnes concernées

Mettez en place des systèmes et des processus pour LES PERSONNES autorisées à accéder à ces données en précisant les RAISONS pour lesquelles elles doivent pouvoir y accéder. L’accès doit être réservé aux personnes qui en ont besoin pour exercer leurs fonctions.

8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur

Cela vous permet de savoir à tout moment qui accède à quoi. Vous pouvez ainsi vous assurer que seules les personnes dûment autorisées ont accès à certains systèmes et composants spécifiques. L’authentification à deux facteurs comme les cartes à puce, les clés USB cryptographiques ou la biométrie permet de renforcer la sécurité et de s’assurer du respect des autorisations.

9. Restreindre l’accès physique aux données

Une faille dans la sécurité physique peut également être à l’origine d’une perte de données. Le nécessaire devra être fait pour restreindre et surveiller l’accès aux dossiers physiques. L’accès aux salles serveur et centres de données devra être réglementé, les supports devront être détruits et les équipements sur lesquels se trouvent les données devront être protégés contre toute altération et surveillés.

10. Tracer et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes

Tous les accès doivent être journalisés afin de détecter et contenir les risques de violations de données. La mise en place de pistes d’audit sécurisées et contrôlées permet de journaliser les actions de chaque utilisateur (accès aux données, privilèges, tentatives de connexion non valides et modifications apportées aux mécanismes d’authentification comme la suppression d’objets). Ces journaux devront être examinés régulièrement.

11. Tester régulièrement les systèmes et processus de sécurité

Les tests d’intrusion sont une composante clé de l’arsenal des équipes de sécurité informatique. Ils devront être menés chaque année et après toute modification importante sur le réseau. Les analyses de vulnérabilités et la maintenance de la topologie du réseau et des pare-feu font également partie des tests d’intrusion.

12. Maintenir une politique de sécurité abordant la sécurité des informations pour les employés et les prestataires

Cette politique devra être révisée deux fois par an et mise à jour en fonction de tout nouvel environnement à risque. Une évaluation des risques permettra d’identifier les éventuelles menaces ou vulnérabilités en vue de la mise en place d’une politique et d’un plan d’intervention sur incident. Une fois ces démarches effectuées, un programme de sensibilisation devra être instauré et maintenu pour communiquer régulièrement avec le personnel afin de le tenir informé de tout nouveau protocole de sécurité.

Quelles sont les implications pour mon entreprise ?

Cette liste de contrôle proposée par Tripwire (en anglais) devrait être utile aux entreprises engagées dans une démarche de mise en conformité PCI DSS. Le conseil des normes de sécurité PCI dispose aussi d’une bibliothèque de ressources bien fournie.

Les exigences de conformité PCI DSS correspondent globalement aux bonnes pratiques dans le domaine de la cybersécurité. Si vous n’avez pas encore entendu parler du Règlement général sur la protection des données (RGPD) de l’UE qui entre en vigueur en mai 2018, sachez qu’il reprend en grande partie les recommandations pour la mise en conformité PCI DSS. Pour être en règle, protégez votre réseau et votre infrastructure, et ce quelle que soit la taille de votre entreprise, sans oublier de mettre à l’abri les ressources les plus précieuses pour votre entreprise, à savoir vos données.

Les infrastructures à clé publique (PKI) offrent une solution intéressante pour gérer et contrôler vos données. Une PKI vous permet d’attribuer une identité ou un certificat numérique à tous les systèmes et composants internes qui communiquent entre eux dans votre entreprise. Ces certificats peuvent être utilisés pour identifier et authentifier des utilisateurs, des machines et des équipements. Avantages : ils permettent de renforcer les contrôles d’accès ou les accès basés sur des privilèges, de chiffrer les communications et les transmissions de données, et garantissent l’intégrité des données transmises.

GlobalSign est une autorité de certification qui délivre des certificats numériques aux entreprises de toute taille, avec des outils de gestion pour faciliter les déploiements de plus grande envergure.

Partager ce blog