Flexible Security for Your Peace of Mind

Quoi de neuf dans la V4.0 du PCI DSS ?

Les organisations qui stockent, traitent ou transmettent les données des titulaires de carte de paiement sont soumises au cadre de conformité connu sous le nom de PCI-DSS (Payment Card Industry Data Security Standard). Il aide à protéger les titulaires de carte de paiement et les entreprises traitant leurs données contre les cyberattaques et les fuites des données. Le 31 mars 2022, le Conseil des normes de sécurité PCI (PCI SSC) a publié la version 4.0 de son PCI DSS. Quelles sont les modifications présentées dans cette nouvelle version ?

Qu’est-ce que la norme PCI DSS ?

Le cadre de conformité du PCI DSS est incontournable dans le domaine de la cybersécurité pour les entreprises traitant des transactions par carte de crédit. Le Payment Card Industry Data Security Standard (PCI DSS) a été créé pour améliorer la sécurité des données des comptes de cartes de paiement. Il aide à définir des mesures de sécurité cohérentes pour renforcer la sécurité, le traitement et le stockage des données des cartes de paiement. PCI DSS n’est pas une institution créée par un gouvernement, mais plutôt le fruit d’une collaboration entre les principales sociétés de cartes de crédit qui forment le Conseil des normes de sécurité PCI. Cependant, l’application de la norme PCI DSS est en partie régulée par la Federal Trade Commission (FTC).

Le PCI DSS établit des exigences de sécurité fondamentales destinées à améliorer et à protéger la sécurité des paiements. Il s’agit notamment des éléments suivants :

  1. Installer et maintenir les contrôles de sécurité du réseau ;
  2. Appliquer des configurations sécurisées à tous les composants du système ;
  3. Protégez les données de compte stockées ;
  4. Protégez les données des titulaires de carte avec une cryptographie solide lors de transmissions sur des réseaux publics ouverts ;
  5. Protégez tous les systèmes et réseaux contre les logiciels malveillants ;
  6. Développer et maintenir des systèmes et des logiciels sécurisés ;
  7. Restreindre l’accès aux composants du système et aux données des titulaires de carte ;
  8. Identifier les utilisateurs et authentifier l’accès aux composants du système ;
  9. Restreindre l’accès physique aux données des titulaires de carte ;
  10. Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de cartes ;
  11. Tester régulièrement la sécurité des systèmes et des réseaux ;
  12. Soutenir la sécurité de l’information avec des politiques et des programmes organisationnels.

En outre, il convient de noter que la norme PCI DSS établit une base minimale d’exigences techniques et opérationnelles pour les organisations afin de protéger les données de compte et les aider à prévenir les fuites de données ou autres cyberattaques – pouvant compromettre le flux de des systèmes de paiement. Ces mesures ne constituent donc pas une fin en soi. Des mesures de sécurité supplémentaires, en parallèle des directives établies par le PCI DSS – peuvent améliorer la sécurité des données des titulaires de carte.

Les sanctions du PCI DSS

Existe-t-il des sanctions en cas de non-conformité aux recommandations du PCI DSS ? Le cadre établi par le PCI peut entraîner des amendes réelles pour les entreprises tenues de s’y conformer qui ne le feraient pas.

Ces amendes peuvent aller de 5 000 $ à 100 000 $ par mois (4 000 à 80 000 GBP[EC1] ). En outre, d’autres pénalités et conséquences peuvent affecter les entreprises sur le plan monétaire, telles que des frais de transaction bancaire plus élevés voire même la résiliation de la relation avec la banque.

Qui doit se conformer au PCI DSS ?

Certaines organisations spécifiques relèvent directement du PCI DSS. Par exemple, les exigences PCI DSS s’appliquent aux entités ayant des environnements dans lesquels les données des titulaires de carte sont stockées, traitées ou transmises. Elles concernent également les entités ayant des environnements qui peuvent avoir un impact sur la sécurité des données des titulaires de cartes (CDE).

Il est essentiel de comprendre qu’il existe des cas où les exigences du PCI DSS s’appliquent à des organisations autres que celles qui stockent, traitent ou transmettent les données de compte. Par exemple, les organisations qui externalisent les opérations de paiement ou celles qui gèrent leur CDE sont toujours tenues de se conformer à certaines exigences du PCI DSS.

Quoi de neuf dans la version 4.0 du PCI DSS ?

Il faut noter que les 12 concepts principaux du PCI DSS n’ont pas changé avec sa nouvelle version 4.0. Ces normes fondamentales sont les piliers de ce programme et concernent toujours les organisations qui doivent se conformer aux exigences du PCI DSS. PCI DSS v4.0 repose sur le concept de confiance zéro, qui est de plus en plus reconnu comme la meilleure pratique à adopter. Cependantavec PCI DSS v4.0, il existe une nouvelle option intéressante pour les organisations qui respectent les réglementations PCI DSS : l’approche personnalisée afin de satisfaire aux exigences du PCI. Les organisations peuvent désormais choisir entre l’approche définie et l’approche personnalisée.

Avec l’approche personnalisée, les entreprises peuvent concevoir leurs propres contrôles et normes de sécurité pour satisfaire aux exigences du PCI DSS v4.0 et même modifier les procédures de mise en œuvre afin de répondre aux besoins énoncés. En outre, elle permet aux entreprises de démontrer la façon dont elles chaque exigence du PCI DSS. Les entreprises peuvent utiliser de nouvelles approches de sécurité – différentes de celles décrites par les exigences PCI traditionnelles – ce qui constitue un moyen alternatif de répondre aux exigences du cadre PCI DSS.

Il convient de noter que lors de l’utilisation de l’approche personnalisée, un évaluateur de sécurité qualifié (QSA) doit examiner et déterminer si les contrôles personnalisés définis par le client sont acceptables afin d’être en conformité avec les exigences décrites. Cependant, cela apporte des avantages pour le client et la possibilité de vérifier le respect des exigences de manière satisfaisante.

L’approche définie avec le PCI-DSS 4.0 reste relativement inchangée par rapport aux versions précédentes. Il s’agit d’une déclaration de contrôle détaillée et des tests connexes que le QSA doit effectuer pour confirmer que le contrôle est en place. Les contrôles de compensation sont toujours une option intéressante et peuvent être utilisés en cas de besoin. L’approche définie est idéale pour les organisations qui en sont aux premières étapes de leurs initiatives de cybersécurité et de conformité, qui ont des contraintes budgétaires ou qui ont déjà mis en place des contrôles compensatoires conformes aux exigences du PCI-DSS.

Le PCI DSS v4.0 a augmenté le niveau de protection des identités numériques. De nombreux processeurs et entités de services de paiement et de services de paiement étant passés à l’informatique en cloud, des contrôles de sécurité et de compensation plus robustes sont nécessaires pour sécuriser les mécanismes d’authentification. Les nouvelles exigences, ainsi décrites, s’alignent plus étroitement sur les meilleures pratiques du NIST pour les comptes.

Avec le PCI DSS v4.0, les ajouts suivants ont été effectués :

  • Alors que le mot de passe minimum pour les comptes d’utilisateurs généraux a été défini à 12 caractères, pour les comptes de service utilisés par les applications, les services et les systèmes, la recommandation est d’un mot de passe avec au moins 15 caractères pour les exigences de complexité – avec des caractères alphanumériques et une vérification systématique que le mot de passe choisi ne figure pas sur une liste de mots de passe compromis connue.
  • Les organisations doivent aller plus loin que les valeurs par défaut des fournisseurs et réfléchir davantage aux configurations sécurisées à tous les niveaux.
  • L’authentification multifacteurs (MFA) est requise pour tous les comptes qui ont accès aux environnements de données de titulaires de carte PCI dans le champ d’application.
  • Les entreprises doivent revoir les privilèges d’accès au moins tous les 6 mois.
  • Les comptes tiers ne doivent être activés que lorsqu’ils sont nécessaires à l’utilisation et désactivés dans le cas contraire. Une surveillance spécifique est nécessaire pour ces comptes tiers.
  • Lorsqu’un 2e facteur d’identification est requis, cette exigence d’expiration spécifique a été supprimée.

Quand les organisations doivent-elles mettre en œuvre le PCI DSS v4.0 ?

Il y aura une période de transition entre PCI DSS v3.2.1 et la nouvelle version v4.0. Les organisations devront l’avoir pleinement adoptée d’ici le 31 mars 2025. Cependant, il serait prudent pour les entreprises de commencer dès à présent à effectuer les transitions nécessaires afin d’être prêtes et conformes en 2025.

Ressources concernant le PCI DSS v4.0

Les ressources officielles concernant le PCI DSS v4.0 :

Gagner en visibilité et se protéger contre les mots de passe faibles et compromis

Il est bien connu que les comptes compromis entraînent des cyberattaques, des fuites de données et des infrcations telles celles décrites dans le PCI DSS. Avec les normes de compte et de mot de passe plus strictes du nouveau cadre PCI DSS v4.0, les organisations vont mettre en œuvre les exigences techniques nécessaires pour se protéger contre les mots de passe faibles et compromis.

De nombreuses entités qui doivent se conformer aux réglementations de conformité du PCI DSS utilisent Active Directory comme solution de gestion des identités et des accès (IAM). Malheureusement, Active Directory ne contient aucune fonctionnalité intégrée pour vérifier les mots de passe compromis et les autres types de mots de passe dangereux, notamment :

  • Mots de passe réutilisés ;
  • Mots de passe compromis ;
  • Mots de passe connus et faciles à deviner ;
  • Mots de passe incrémentiels ;
  • Mots de passe dérivés de Leetspeak ;
  • Autres.

Specops Password Policy avec Breached Password Protection fournit aux organisations les outils nécessaires pour se conformer aux normes du PCI DSS v4.0 et aux autres exigences du programme afin de protéger les mots de passe des comptes. Specops Password Policy avec Breached Password Protection offre les avantages suivants :

  • Vous pouvez créer des dictionnaires personnalisés pour vous protéger contre les mots de passe dangereux pour votre entreprise ;
  • Protégez-vous contre des milliards de mots de passe compromis ;
  • Découvrez les mots de passe faibles ou compromis déjà présents dans votre environnement ;
  • Messagerie utilisateur intuitive pour aider les utilisateurs à créer des mots de passe conformes pour leurs comptes ;
  • Commentaires dynamiques des utilisateurs lors du changement de mot de passe ;
  • Expiration du mot de passe basée sur la longueur avec notifications par emails personnalisables ;
  • Bloquez les noms d’utilisateur, les noms d’affichage, les mots spécifiques, les caractères consécutifs, les mots de passe incrémentiels et la réutilisation des mots de passe ;
  • Il s’intègre aux objets de stratégie de groupe existants pour s’aligner sur les politiques déjà en place dans Active Directory ;
  • Prise en charge des mots de passe ;
  • Prise en charge multilingue ;
  • Utilisation d’expressions courantes pour créer des listes de mots de passe bloqués dynamiquement.
Specops Password Policy avec Breached Password Protection

Pour en savoir plus sur Specops Password Policy, cliquez ici.

Trois points à garder en tête dans cet article :

  • PCI DSS v4.0 conserve bon nombre des mêmes concepts de base que la version v3.2.1 actuelle. Cependant, il renforce les exigences des mots de passe de comptes et d’autres domaines autour de l’authentification et de l’autorisation.
  • Les organisations doivent être entièrement conformes aux normes du PCI DSS v4.0 d’ici le 31 mars 2025.
  • Les exigences du PCI DSS s’appliquent aux entités avec des environnements dans lesquels les données de titulaires de carte sont stockées, traitées ou transmises ainsi qu’aux entités dont les environnements peuvent avoir un impact sur la sécurité des données des titulaires de cartes (CDE).

(Dernière mise à jour le 31/05/2022)

Revenir sur le blog