Les 12 exigences de la norme PCI DSS : check-list de conformité à la version 4.0

Conformité et réglementation

Bannière PCI

Les paiements numériques devraient atteindre un niveau record cette année. Selon les estimations, les transactions de paiements numériques ont augmenté de 24 % en 2020 en glissement annuel, une tendance qui ne montre aucun signe de ralentissement. C’est précisément pourquoi les exigences de la norme PCI DSS sont plus cruciales que jamais : les marchands et les sociétés de traitement des paiements doivent garantir la confidentialité et la sécurité de chaque transaction.

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un cadre conçu pour protéger l’ensemble de la chaîne de valeur des cartes de paiement. Les exigences de conformité à la norme PCI DSS couvrent une multitude de domaines, de la façon dont les données des titulaires de carte sont stockées à l’accès aux données personnelles de paiement.

Obtenez notre guide pratique gratuit sur la conformité et la réglementation en matière de protection des données aux États-Unis

Toutefois, la norme PCI DSS évolue, tout comme les menaces et les technologies. Les marchands, les prestataires de services de paiement et toute autre entreprise qui gère les données des titulaires de carte doivent connaître les nouvelles exigences de la norme PCI DSS 4.0. Notre check-list de conformité à la norme PCI DSS 4.0 est là pour vous aider à décrypter les changements, du chiffrement des données à la sécurité et au contrôle du réseau.

Vue d’ensemble : Conformité à la norme PCI DSS

La norme PCI DSS est une loi sur la protection de la vie privée et une exigence organisationnelle pour toute entreprise qui stocke, traite ou transmet des données de titulaires de carte.

Voici une vue d’ensemble des objectifs que le Conseil de sécurité des normes PCI établit pour l’industrie des cartes de paiement dans la version 4.0 :

  • Veiller à ce que les normes PCI continuent de répondre aux besoins de sécurité du secteur des paiements
  • Ajouter la flexibilité et le soutien d’autres méthodologies pour renforcer la sécurité des paiements
  • Promouvoir la sécurité des titulaires de carte en tant que processus continu, en fusionnant la sécurité avec les processus métier
  • Améliorer les méthodes et procédures de validation pour rationaliser le processus de conformité

Voici les domaines techniques dont la modification est envisagée dans le cadre de la norme PCI DSS 4.0 :

En bref, la norme PCI DSS 4.0 est conçue pour sécuriser davantage les données des titulaires de carte en aidant les entreprises à adopter une vision plus globale des mesures de sécurité et des contrôles d’accès. Elle doit également répondre aux nouvelles menaces posées par les avancées technologiques.

Les 12 exigences de la norme PCI DSS étape par étape

La norme PCI DSS constitue la feuille de route à suivre pour assurer votre conformité aux normes PCI. Découvrez ci-dessous les 12 étapes du plan PCI DSS pour protéger les données client.

Étape 1. Installer et mettre à jour un pare-feu

Le respect des exigences de pare-feu PCI DSS est la première étape vers la conformité de votre organisation. Les pare-feu limitent le trafic réseau entrant et sortant et constituent souvent la première ligne de défense contre les hackers.

Vous devrez configurer correctement votre pare-feu et vos routeurs pour protéger votre environnement de données de carte de paiement. Établissez également des règles et des normes de pare-feu et de routeur qui déterminent quels types de trafic sont autorisés et lesquels ne le sont pas.

Étape 2. Éliminer les paramètres par défaut

Ne vous fiez jamais aux paramètres par défaut d’un serveur, d’un périphérique réseau ou d’une application logicielle. Cela vaut pour tout, des routeurs Wi-Fi aux pare-feu. Le mot de passe, le nom d’utilisateur et les autres paramètres de sécurité par défaut sont souvent insuffisants pour satisfaire à la norme PCI.

Cette deuxième exigence PCI DSS stipule que vous ne devez pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe et autres paramètres de sécurité. Veillez à mettre à niveau vos paramètres pour tous les nouveaux appareils et équipements, ainsi qu’à conserver la documentation pour vos procédures de renforcement de la sécurité de la configuration.

Étape 3. Protéger les données stockées des titulaires de carte

La protection des données des titulaires de carte est l’exigence de conformité PCI DSS la plus cruciale. Vous devez savoir où vont les données des titulaires de carte, à quel emplacement elles seront stockées et pendant combien de temps exactement. En outre, toutes les données des titulaires de carte doivent être chiffrées à l’aide d’algorithmes et de clés de sécurité reconnus par le secteur.

Une erreur courante est que les entreprises ne savent pas que les numéros de compte principaux (PAN) sont stockés de manière non chiffrée. C’est pourquoi il est conseillé d’utiliser un outil de découverte de données de carte. Cette exigence PCI inclut également des règles sur l’affichage des numéros de carte, telles que le masquage des six premiers chiffres ou des quatre derniers.

Étape 4. Chiffrer la transmission des données de paiement

Cette étape des exigences PCI DSS est similaire à la précédente, mais se concentre uniquement sur le trafic et la transmission des données plutôt que sur le stockage. Cela inclut les données en mouvement via des réseaux ouverts, fermés, privés ou publics. Les hackers ciblent souvent les données lorsqu’elles passent d’un emplacement à un autre, car ils considèrent qu’elles sont plus vulnérables.

Vous devez savoir d’où viennent les données des titulaires de carte et où elles vont, qu’il s’agisse d’un marchand, d’une passerelle de paiement ou d’une société de traitement des paiements. Veillez également à chiffrer les données des titulaires de carte avant leur transmission, en utilisant des versions sécurisées des protocoles qui réduiront le risque de fuite des données en mouvement. Sachez que la norme PCI DSS v4.0 fournira des directives plus spécifiques sur l’authentification à plusieurs facteurs (MFA).

Étape 5. Mettre à jour les logiciels antivirus régulièrement

Il ne suffit pas d’installer un logiciel antivirus de base pour être conforme à la norme PCI DSS. Vous devez régulièrement mettre à jour vos applications logicielles antivirus et installer les correctifs nécessaires. Cette norme de sécurité PCI est conçue pour vous protéger contre les malwares et tout autre virus pouvant compromettre vos systèmes et les données des titulaires de carte.

Les logiciels antivirus doivent être mis à jour dans l’ensemble de votre écosystème informatique de titulaires de carte. Cela comprend les serveurs, les postes de travail, les ordinateurs portables et autres appareils mobiles utilisés par les employés et/ou la direction. Un logiciel antivirus doit toujours être en cours d’exécution, utiliser les dernières signatures et générer des journaux d’événements pouvant être audités.

Étape 6. Déployer des systèmes et applications sécurisés

Lors de cette étape, vous devrez définir et mettre en œuvre des processus permettant à la fois d’identifier et de classer les risques en vue du déploiement de la technologie. Sans effectuer au préalable une évaluation approfondie des risques, il est impossible de gérer et d’utiliser la technologie en conformité avec la norme PCI.

Une fois les risques évalués, vous pouvez commencer à déployer les équipements et les logiciels utilisés pour traiter ou manipuler les informations sensibles des cartes de paiement. N’oubliez pas d’appliquer les correctifs en temps opportun, une autre exigence de la norme PCI DSS. Cela inclut les correctifs pour des éléments tels que les bases de données, les terminaux de point de vente et les systèmes d’exploitation.

Étape 7. Limiter les accès aux données des titulaires de carte aux personnes qui en ont besoin

Toute entité qui traite les données des cartes de paiement doit également autoriser ou refuser l’accès à ces données en fonction des rôles et des autorisations. Plus précisément, les exigences de la norme PCI DSS stipulent que les personnes ne doivent avoir accès aux données privées des titulaires de carte que si elles en ont fondamentalement besoin dans le cadre de l’activité.

Outre l’accès numérique, les organisations doivent répondre aux exigences de sécurité physique de la norme PCI DSS. Vous devez disposer de politiques et de procédures de contrôle d’accès documentées, basées sur des éléments tels que la fonction, le niveau d’ancienneté et la raison pour laquelle vous devez accéder aux données des titulaires de carte. Documentez tous les utilisateurs et leur niveau d’accès et veillez à ce que cette liste soit constamment à jour.

Étape 8. Identifier les accès des utilisateurs

Selon la huitième exigence de la norme PCI DSS, chaque utilisateur doit avoir son propre identifiant et son propre mot de passe. Quelles que soient les circonstances, n’utilisez jamais d’identifiant ou de mot de passe partagés ni de groupe. De plus, tous les identifiants et mots de passe uniques doivent être complexes.

Il ne s’agit pas seulement d’empêcher les hackers de deviner ou de voler les mots de passe pour entrer dans le système. Cela garantit également qu’en cas de fuite interne de données, l’activité pourra être vérifiée et reliée à des utilisateurs spécifiques avec une certitude proche de 100 %. Pour renforcer encore davantage l’accès unique, les exigences de la norme PCI DSS stipulent que vous devez utiliser une authentification à deux facteurs.

Étape 9. Restreindre l’accès physique aux données

La conformité à la norme PCI ne se résume pas à la sécurité numérique. Les entreprises doivent également prendre la sécurité physique au sérieux, d’après la norme PCI DSS. Cette exigence PCI couvre l’accès physique à des éléments tels que les serveurs, les dossiers papier ou les postes de travail qui hébergent ou transmettent les données des titulaires de carte.

Cette exigence PCI impose également l’utilisation de caméras et la surveillance électronique générale des accès entrants et sortants des lieux physiques, tels que les emplacements de stockage des fichiers et les data centers. Les enregistrements et les journaux d’accès doivent être conservés pendant au moins 90 jours. Vous devez disposer de procédures d’accès permettant de distinguer les employés des visiteurs. Enfin, tous les supports portables contenant des données relatives aux titulaires de carte, telles les clés USB, doivent être protégés physiquement et détruits lorsqu’ils ne sont plus nécessaires à l’activité.

Étape 10. Suivre et surveiller les accès au réseau

Les acteurs malveillants ciblent systématiquement les réseaux physiques et sans fil pour accéder aux données des titulaires de carte. C’est pourquoi la norme PCI exige que tous les systèmes réseau soient protégés et surveillés à tout moment, avec un historique clair de l’activité à référencer. Les journaux d’activité réseau doivent être conservés et renvoyés à un serveur centralisé pour être examinés quotidiennement.

Vous pouvez utiliser un outil de surveillance des informations et des événements de sécurité (SIEM) pour aider à consigner l’activité du système, tout en surveillant simultanément les activités suspectes. Selon les exigences de conformité PCI, les dossiers de piste d’audit de l’activité réseau doivent être conservés, synchronisés et maintenus pendant au moins un an.

Étape 11. Procéder à des tests continus des systèmes et processus

Les acteurs malveillants et les cybercriminels testent et fouillent constamment les systèmes dans l’espoir de détecter une vulnérabilité. C’est pourquoi la norme PCI comprend des exigences relatives aux tests continus des systèmes et des processus. Des vérifications telles que les tests de pénétration et de vulnérabilité peuvent vous aider à répondre à cette exigence.

Chaque trimestre, vous devrez effectuer un balayage avec un analyseur sans fil afin d’identifier les points d’accès non autorisés. Les IP et domaines externes doivent être balayés par un prestataire de services de balayage agréé (ASV) pour PCI. Les balayages de détection de vulnérabilité interne doivent également être effectués tous les trimestres. En outre, un test approfondi de pénétration du réseau et des applications doit avoir lieu chaque année.

Étape 12. Créer et mettre à jour une stratégie de sécurité de l’information

La dernière étape de la mise en conformité avec la norme PCI est axée sur la concentration et la coopération au sein de l’organisation. Il s’agit de créer, d’implémenter et de maintenir une politique de sécurité de l’information à l’échelle de l’entreprise. Cette politique de sécurité de l’information doit englober les employés, la direction et les tiers concernés.

Elle doit être révisée chaque année, diffusée en interne et auprès des tiers, et tous les utilisateurs doivent reconnaître et lire cette politique. Vous êtes également tenu(e) d’organiser des formations de sensibilisation des utilisateurs et de vérifier les antécédents des employés afin d’empêcher les mauvaises personnes d’accéder aux données des titulaires de carte.

Check-list de conformité à la norme PCI DSS

Avant d’engager un évaluateur de sécurité qualifié (QSA) PCI, vous devriez vous assurer que vous avez complété le plus d’éléments possibles sur la check-list de conformité PCI DSS suivante :

  • Activer votre pare-feu. 
      1. Créez un plan de mise en place du pare-feu et une stratégie d’implémentation des changements et mises à jour
      2. Surveillez et testez votre pare-feu à intervalles réguliers pour détecter les vulnérabilités potentielles
      3. Installez les derniers correctifs du pare-feu et veillez à ce qu’il soit globalement mis à jour
  • Modifier les paramètres par défaut définis par les fournisseurs.
      1. Réalisez un audit des paramètres et comptes par défaut pour tout nouveau matériel ou logiciel
      2. Ajustez les paramètres de sorte à traiter les menaces courantes et les vulnérabilités internes
      3. Établissez un inventaire de l’ensemble des composants système régis par la norme PCI DSS à des fins de documentation
  • Protéger les données des titulaires de carte quoi qu’il en coûte.
      1. Créez une stratégie conforme à la norme PCI pour définir la méthodologie de recueil, de traitement et d’élimination de ces données
      2. Mettez en place des mesures de sécurité fortes, comme le chiffrement et le masquage des numéros de compte principaux (PAN)
      3. Documentez votre processus de création, de stockage et de gestion des clés de chiffrement
  • Chiffrer les données en mouvement des titulaires de carte.
      1. Veillez à utiliser des protocoles de chiffrement forts sur les réseaux publics et privés
      2. N’envoyez jamais de numéro de compte principal par le biais de technologies grand public, comme les e-mails, messages instantanés ou SMS
      3. Formez régulièrement le personnel aux bonnes pratiques de transmission de données conformes à la norme PCI
  • Tenir votre antivirus à jour.
      1. Déployez un logiciel antivirus sur l’ensemble du matériel et des logiciels, en particulier les ordinateurs portables et les serveurs
      2. Veillez à ce que tous les antivirus procèdent à une surveillance continue et génèrent automatiquement des journaux d’événements
      3. Configurez vos logiciels antivirus de sorte que les utilisateurs ne puissent pas en modifier les paramètres sans l’approbation de leur responsable
  • Déployer exclusivement du matériel et des logiciels sécurisés.
      1. Faites appel à un partenaire spécialisé dans la conformité PCI pour valider les nouveaux matériels et logiciels et garantir leur sécurité
      2. Installez les mises à jour du fournisseur ou les correctifs de sécurité dans le mois suivant leur publication
      3. Développez les applications logicielles internes en gardant la conformité PCI à l’esprit
  • Limiter l’accès aux données.
      1. Limitez l’accès aux données des titulaires de carte aux seules personnes en ayant besoin pour des raisons professionnelles
      2. Mettez en place des cartes d’accès, des codes et des sécurités biométriques pour renforcer les contrôles d’accès physique
      3. Formez régulièrement les employés à la politique d’accès aux données des titulaires de carte pour éviter les fuites internes accidentelles
  • Attribuer des identifiants et des mots de passe uniques.
      1. Documentez les processus et mesures de création, d’attribution et de révocation des ID utilisateur
      2. Mettez en place l’authentification à deux facteurs (2FA) pour toute personne se connectant au système
      3. Éliminez tous les ID et mots de passe de groupes d’utilisateurs pré-existants : la norme PCI DSS les interdit
  • Sécuriser les zones d’accès physique clés.
      1. Surveillez les accès entrants et sortants aux zones physiques à l’aide de caméras, d’un système de télésurveillance ou d’un autre moyen
      2. Différenciez le personnel sur site des visiteurs à l’aide de badges
      3. Détruisez les clés USB et autres dispositifs de stockage physique une fois qu’ils ne sont plus nécessaires
  • Surveiller et enregistrer les accès au réseau.
      1. Établissez un enregistrement des liens entre tous les appareils physiques du réseau et des utilisateurs spécifiques
      2. Automatisez la génération de pistes d’audit de votre réseau à des fins de documentation
      3. Analysez régulièrement des journaux de sécurité pour détecter d’éventuelles anomalies ou activités suspectes
  • Procéder à des tests d’intrusion réguliers.
      1. Concevez un plan avec un partenaire spécialisé dans les intrusions PCI pour tester les vulnérabilités au moins une fois par trimestre
      2. Assurez-vous que vos méthodologies de test de pénétration fonctionnent au niveau du réseau et des applications
      3. Déployez un mécanisme de détection des changements pour comparer chaque semaine les fichiers stratégiques
  • Créer une stratégie de sécurité de l’information claire.
    1. Dans toutes les unités opérationnelles, identifiez les parties prenantes clés devant participer à la stratégie
    2. Créez et documentez votre stratégie avec l’aide d’un partenaire spécialisé dans la conformité PCI
    3. Procédez au minimum à une formation annuelle du personnel pour assurer l’application de cette stratégie à chaque instant

Gardez à l’esprit que le non-respect des exigences PCI peut avoir de graves conséquences. Si vous constatez une fuite de données et que des investigations ultérieures révèlent que vous n’étiez pas en conformité, les amendes peuvent aller de 5 000 à 10 000 dollars US par mois et ce, jusqu’à ce que vous soyez en conformité… Sans parler des conséquences d’une fuite de données sur votre réputation, car vous n’avez pas pris les précautions recommandées par la norme PCI DSS !

maintenance de la conformité PCI

L’avenir de la conformité de l’industrie des cartes de paiement (PCI)

Dans l’ensemble, la norme PCI DSS v4.0 ne modifie pas de manière significative les six objectifs clés et les 12 exigences de la norme PCI DSS. Néanmoins, vous pouvez vous attendre à des ajustements dans les méthodologies et les processus d’évaluation de la conformité PCI afin de prendre en compte les nouvelles technologies dans le secteur des technologies financières et des paiements.

L’objectif est de rendre la conformité à la norme PCI DSS plus flexible, en mettant davantage l’accent sur la technologie et les processus métier. Certes, vous disposez peut-être de pare-feu et de logiciels antivirus, mais comment s’intègrent-ils dans l’ensemble de vos processus métier ?

Il est conseillé de surveiller en continu la section FAQ du site www.pcisecuritystandards.org afin d’obtenir des guides publiés et des informations supplémentaires concernant la norme PCI DSS v4.0. Mais si vous commencez tout juste à suivre votre parcours de conformité PCI, le mieux est de passer en revue les objectifs et les exigences avec le personnel clé de sécurité de l’information pour déterminer les points sur lesquels vous êtes en conformité et ceux sur lesquels vous ne l’êtes pas.

Après avoir repéré des lacunes, vous devriez envisager de travailler avec un partenaire expérimenté en matière de conformité PCI pour vous aider à les combler.

Avatar

David Harrington

David est rédacteur professionnel et consultant en leadership d'expertise pour des marques de technologie d'entreprise, des start-up et des sociétés de capital-risque.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.