La conformité PCI : prescriptions et pénalités

PCI

La conformité PCI est un ensemble de normes et de recommandations destinées aux entreprises devant gérer et sécuriser des données personnelles relatives aux cartes de crédit. En 2006, les principales sociétés de cartes de crédit – Visa, Mastercard, et American Express – ont établi les normes PCI DSS (Payment Card Industry Data Security Standards) dans le but de protéger les données de carte de crédit contre le piratage.

Les experts nous disent que les fraudes aux cartes de crédit coûtent chaque année des milliards de dollars aux entreprises américaines. Il semble évident que les cybercriminels sont en train de gagner la guerre des cartes de crédit. Pour arrêter de perdre des milliards de dollars à cause des fraudes aux cartes de crédit, la protection des données client et des informations de paiement doit être une priorité pour les consommateurs, les entreprises et les banques. La compréhension de la conformité PCI et sa mise en œuvre sont essentielles pour gagner cette guerre.

Pourquoi est-il important que les entreprises respectent la conformité PCI ?

La conformité PCI DSS devrait être actuellement l’un des plus importants projets de toute entreprise qui stocke et mémorise les données de carte de crédit. Selon le Rapport Verizon 2018 sur la sécurité des paiements, seules 52,5% des organisations sont 100 % conformes aux normes PCI. Au niveau régional, seulement 39,7 % des organisations des Amériques ont maintenu une conformité totale, contre 46,4 % en Europe et 77,8 % dans la région Asie-Pacifique.

Les recherches de Verizon montrent une corrélation entre les entreprises ayant subi une violation de données et l’absence de contrôles PCI DSS. En bref : les entreprises piratées n’ont pas respecté toutes les prescriptions, ce qui n’étonnera personne.

Plus important encore, le respect de PCI DSS vous aide à cous conformer aux lois relatives à la sécurité et à la confidentialité des données, comme le Règlement général sur la protection des données (GDPR) ou le Gramm-Leach-Bliley Act (GLBA). Pour toute organisation, le PCI DSS représente de bonnes pratiques en matière de sécurité des données.

Comment se conformer à la norme PCI ?

La norme PCI DSS constitue la feuille de route à suivre pour assurer votre conformité à la norme PCI. Le PCI DSS est un plan en 12 étapes pour protéger les données clients.

goals of PCI DSS compliance

Les 12 conditions du PCI DSS :

Objectifs Conditions
Création et gestion d’un réseau et de systèmes sécurisés Condition 1 : installer et maintenir une configuration de pare-feu pour protéger les données du titulaire de carte

Condition 2 : ne pas utiliser les mots de passe et autres paramètres de sécurité par défaut définis par le fournisseur

Protection des données du titulaire de carte Condition 3 : protéger les données stockées du titulaire de carte

Condition 4 : chiffrer la transmission des données du titulaire sur les réseaux publics ouverts.

Maintenir un programme de gestion des vulnérabilités Condition 5 : protéger tous les systèmes contre les programmes malveillants et mettre régulièrement à jour les logiciels ou programme antivirus.

Condition 6 : développer et gérer des systèmes et des applications sécurisés

Mise en œuvre de mesures de contrôle d’accès strictes Condition 7 : restreindre l’accès aux données du titulaire aux seules personnes qui doivent les connaître

Condition 8 : identifier et authentifier les accès aux composants du système

Condition 9 : restreindre l’accès physique aux données du titulaire

Surveillance et test réguliers des réseaux Condition 10 : suivre et surveiller tous les accès aux ressources réseau et aux données du titulaire

Condition 11 : tester régulièrement les processus et les systèmes de sécurité

Maintenir une politique de sécurité des informations Condition 12 : maintenir une politique de protection des informations de l’ensemble du personnel

Combien coûte la conformité PCI ?

La réponse à cette question est complexe.

Le coût de la mise en conformité PCI est dérisoire par rapport au coût d’une violation de données.

La conformité PCI est simplement une bonne pratique pour la sécurité des données et ne diffère guère des contrôles de sécurité du NIST ou du SANS. Il faut plutôt considérer le coût de la conformité PCI comme le « coût de bonnes pratiques en matière de sécurité des données », et faire vos calculs en conséquence.

Comment valider ma conformité PCI ?

Chaque société de cartes de crédit a ses propres niveaux de validation de la conformité, auxquels elle doit se conformer. Vous pouvez soit réaliser votre propre questionnaire d’auto-évaluation de conformité PCI (SAQ), soit faire appel à un Auditeur de sécurité qualifié (QSA).

Auditeurs de sécurité qualifiés en matière de conformité PCI (QSA)

Les QSA PCI sont certifiés et formés pour réaliser des évaluations relatives à la sécurité PCI. Chaque QSA sera plus ou moins familier avec tel ou tel secteur d’activités. Si vous faites ce choix, assurez-vous de sélectionner un QSA qui comprend les besoins de votre activité.

Questionnaire d’auto-évaluation de conformité PCI (SAQ)

L’autre option est de remplir le SAQ, qui contient une série de questions auxquelles vous répondrez par oui ou par non afin de déterminer votre niveau de conformité à la norme PCI DSS. Chaque entreprise remplit le SAQ et envoie des rapports trimestriels à l’organisation dont elle dépend.

Comment conserver ma conformité PCI ?

Pour conserver votre conformité PCI, vous devez d’autre part coopérer avec des banques et des émetteurs de carte qui sont eux-mêmes conformes PCI. Les données que vous protégez ne le sont logiquement vraiment que si elles restent protégées pendant tout le cycle de vie de la transaction.

Vous devez d’abord respecter de bonnes pratiques en matière de sécurité des données au sein de votre organisation et organiser régulièrement des audits internes et un contrôle qualité du traitement des données entrant dans le cadre de la norme PCI. Voici quelques contrôles spécifiques que vous pouvez mettre en œuvre pour vous aider à protéger vos données PCI.

maintain PCI compliance

  • Identifier et classer les données sensibles
    • Localiser et sécuriser toutes les données sensibles
    • Classer les données en fonction de la politique de l’entreprise
  • Cartographier les données et les droits
    • Identifier les droits des utilisateurs et des groupes, ainsi que les droits sur les dossiers et fichiers
    • Déterminer qui a accès à quelles données
  • Gérer les contrôles d’accès
    • Identifier et désactiver les utilisateurs obsolètes
    • Gérer les appartenances des utilisateurs et des groupes
    • Supprimer les groupes d’accès globaux
    • Appliquer un modèle de moindre privilège
  • Surveiller les activités sur les fichiers et les données, ainsi que le comportement des utilisateurs
    • Contrôler les événements et l’activité au niveau des fichiers et générer les rapports correspondants
    • Surveiller les menaces internes, les logiciels malveillants, les mauvaises configurations et les failles de sécurité
    • Détecter et corriger les vulnérabilités

Sanctions en cas de non-respect de la conformité PCI

Selon le principal blog consacré à la conformité PCI, les amendes ne sont pas publiées ou communiquées, et finissent généralement par être répercutées sur les commerçants. Les banques répercutent les amendes sous la forme d’une augmentation des frais de transaction ou mettent un terme à la relation commerciale.

Les amendes sont comprises entre 5 000 et 100 000 dollars par mois, jusqu’à ce que les commerçants se mettent en conformité. Une grande banque peut faire face à ces montants, mais ils peuvent facilement mener une petite entreprise à la faillite.

Ces amendes infligées par le PCI sont cependant faibles en comparaison des frais de surveillance du crédit, des procès et des actions engagées par les États ou le gouvernement fédéral, qui peuvent découler du non-respect de la norme PCI DSS.
Par exemple, Target a révélé que le coût total de la fuite massive de données de cartes de crédit qu’elle a subie a dépassé 200 millions de dollars, dont 18,5 millions pour parvenir à un règlement judiciaire avec les procureurs généraux de 47 États américains.

La plate-forme de sécurité des données Varonis apporte les bases dont vous avez besoin pour entamer votre parcours vers la conformité PCI. Pour identifier les données devant être conformes à la norme PCI, Varonis cartographie vos dossiers et l’accès à ces dossiers, et analyse vos fichiers. Une fois que vous savez où se trouvent vos données soumises au PCI, vous pouvez œuvrer pour réduire le risque de violation, puis suivre ces données pour détecter des schémas d’accès anormaux. Varonis protège vos données PCI sur le long terme. Pour vos audits de conformité PCI, vous pouvez même générer des rapports d’accès aux données.

Pour en savoir plus sur la façon dont Varonis vous aide dans votre cheminement vers la conformité, téléchargez notre Guide gratuit sur la conformité et la réglementation.