La conformité PCI DSS garantit que les données de carte de crédit de vos clients sont protégées contre les pirates informatiques et les tentatives de compromission. Même si se conformer à ces réglementations n’est pas facile, c’est possible. Pour simplifier cet effort essentiel, nous avons compilé une liste de contrôle des mesures de sécurité clés qui doivent être prises en compte pour répondre aux exigences de conformité de cette norme de sécurité des informations critiques.
Combien y a-t-il d’exigences PCI DSS ?
Il existe douze exigences de base dans la norme de sécurité des données de l'industrie des cartes de paiement. Ils traitent des normes relatives aux contrôles de sécurité, aux politiques de sécurité et aux exigences générales de sécurité pour garantir la protection des données de carte de crédit stockées.
La norme PCI DSS spécifie également les meilleures pratiques d'isolation des bases de données pour masquer l'accès physique et numérique aux données des cartes de paiement dans l'environnement des données des titulaires de cartes.
Il est important de noter que les exigences PCI actuelles sont basées sur la version 3.2.1 de la norme, qui expirera en 2024. Le Conseil des normes de sécurité PCI (PCI SSC) a publié une norme mise à jour : la version 4. La version 4 de PCI DSS met encore plus l'accent sur la protection des données financières sensibles et des données stockées des titulaires de cartes.
Découvrez comment choisir un produit conforme à la norme PCI DSS 4.0 >
Les organisations tenues de se conformer au PCI ont jusqu'au 31 mars 2024 pour se familiariser avec cette nouvelle version avant son entrée en vigueur. Les exigences de conformité mises à jour dans la version 4 sont traitées dans la liste des indicateurs clés ci-dessous.
Métriques de surveillance de la conformité PCI DSS
La liste de contrôle de mesures suivante aidera les entreprises du secteur financier, notamment les sociétés de technologie financière, les banques et les sociétés de commerce électronique, à se conformer à la norme PCI DSS version 3.2.1. Pour évaluer la conformité des fournisseurs à la norme PCI DSS, utilisez ce modèle gratuit.
Exigence PCI DSS 1 : configurations de pare-feu et de routeur
Exigence PCI DSS 2 : documenter les paramètres de configuration et inclure les meilleures pratiques de sécurité PCI.
- N'utilisez pas de mots de passe par défaut fournis par les fournisseurs de services.
- Créez une politique de mot de passe sécurisée qui inclut un calendrier de mise à jour régulière.
- Définissez des politiques de suppression qui atténuent les fuites de données.
Exigence PCI DSS 3 : Protéger les clés contre la divulgation et l'utilisation abusive
- Segmentez le réseau pour masquer l’accès aux centres de données et aux systèmes critiques.
- Concevoir et mettre en œuvre un plan de réponse aux incidents (IRP).
- Incluez des politiques de sauvegarde des données dans les plans de reprise après sinistre pour éviter la perte de données.
- Mettez en œuvre une solution de gestion des vulnérabilités de sécurité des fournisseurs pour empêcher que les cartes de crédit ne soient compromises par des violations de données de tiers (attaques de la chaîne d'approvisionnement).
- Mettez en œuvre des processus et des pistes d'audit pour suivre les composants des cartes de crédit, y compris les bandes magnétiques et les puces.
Exigence PCI DSS 4 : Utiliser une cryptographie solide et des protocoles sécurisés lors du transfert des données des titulaires de carte
- Appliquez le cryptage côté serveur pour toutes les ressources qui hébergent les transactions par carte et les données de carte de crédit d'American Express, Mastercard, Visa, etc.
- Incluez des outils de protection des données, tels qu'une solution de détection des fuites de données, dans votre programme de cybersécurité pour prendre en charge la détection et la correction des accès réseau non autorisés.
- Effectuez en permanence des analyses de vulnérabilité sur les logiciels cloud et les systèmes d'exploitation pour découvrir les expositions qui ont un impact négatif sur votre posture de sécurité.
- Appliquez le cryptage sur tous les chemins de communication.
Exigence PCI DSS 5 : Documenter et appliquer une politique antivirus
- Implémentez un logiciel antivirus.
- Assurez-vous que votre logiciel antivirus est continuellement mis à jour avec les derniers correctifs de sécurité.
Exigence 6 de la norme PCI DSS : Documenter les processus et procédures de contrôle des modifications. Documenter les procédures de développement de logiciels sécurisés
- Mettez en œuvre des mesures de sécurité pour protéger tous les composants du système contre tout accès non autorisé.
- Intégrez un programme de gestion des risques liés aux fournisseurs (VRM) à votre programme de sécurité pour empêcher les injections de logiciels malveillants via des failles de sécurité tierces.
- Établissez un calendrier régulier d’évaluations des risques et de questionnaires de sécurité pour évaluer les postures de sécurité de tous les fournisseurs.
- Analysez continuellement les fournisseurs pour détecter les risques de sécurité qui menacent l'intégrité des données de carte de crédit.
- Mettre en place un système pour identifier la non-conformité réglementaire de tous les fournisseurs.
- Établir un flux de communication avec l’équipe de direction pour rendre compte efficacement de la conformité.
Exigence 7 de la norme PCI DSS : politique de contrôle d'accès écrite qui limite l'accès aux composants du système et aux données des titulaires de carte.
- Adoptez le principe du moindre privilège pour minimiser les processus de traitement des données des cartes de crédit.
- Mettez en œuvre des politiques robustes de gestion des accès privilégiés pour protéger les systèmes liés aux données financières.
Exigence PCI DSS 8 : Politiques et procédures pour les contrôles de gestion de l'identité des utilisateurs
- Appliquez les mandats de contrôle d’accès dans toute l’organisation.
- Assurez-vous que la documentation sur le contrôle d'accès est tenue à jour et disponible pour les évaluateurs de sécurité qualifiés (QSA), idéalement sous forme de téléchargement instantané via une fonctionnalité de sécurité telle qu'une page de confiance.
Exigence 9 de la norme PCI DSS : contrôles documentés des installations pour limiter et surveiller l'accès physique aux systèmes
- Points d'accès réseau sécurisés : numériques et physiques.
- Cartographiez les contrôles de sécurité d'accès des utilisateurs à partir du cadre déjà mis en œuvre pour éviter les chevauchements, c'est-à-dire ISO 27001, HIPAA, GDPR.
Exigence 10 de la norme PCI DSS : journaux d'audit pour tous les composants du système dans l'environnement de données des titulaires de cartes.
- Assurer la soumission d’une piste d’audit pour tous les processus liés aux cartes de crédit.
- Mettre en œuvre une politique de surveillance du système pour surveiller le traitement des données de carte de crédit.
Exigence 11 de la norme PCI DSS : Preuve documentée de l'analyse des vulnérabilités du réseau interne et externe et des tests d'intrusion
- Analysez périodiquement la surface d'attaque des services internes et tiers à la recherche de vulnérabilités potentielles en matière de violation des données des cartes de crédit.
- Établir un calendrier périodique de tests d'intrusion pour valider l'efficacité du contrôle de sécurité.
- Veiller à ce qu'un rapport de test d'intrusion interne et externe soit créé.
Exigence 12 de la norme PCI DSS : Preuve de la politique de sécurité créée, publiée, maintenue et distribuée à tout le personnel concerné
- Mettez en œuvre une formation de sensibilisation à la sécurité pour garantir que le personnel comprend quelles actions constituent une violation de la conformité PCI DSS.
- Suivez la rétention des formations de sensibilisation à la sécurité grâce à des campagnes d’attaques de phishing simulées.
- Effectuer périodiquement des exercices de réponse aux incidents et de reprise après sinistre.
