Bienvenue dans notre série de podcasts, Café avec le Conseil. Je m'appelle Alicia Malone, directrice des communications et des relations publiques au Conseil des normes de sécurité PCI. Comme beaucoup de nos auditeurs le savent, nous approchons rapidement de la date limite pour adopter les futures exigences de la norme PCI DSS version 4.0.1, le 31 mars 2025. Au cours de l'année écoulée, le Conseil a reçu des commentaires indiquant que davantage d'orientations étaient nécessaires pour mettre en œuvre correctement certaines des exigences de sécurité du commerce électronique de la norme, en particulier les exigences 6.4.3 et 11.6.1. À ce titre, le Conseil a publié plusieurs lignes directrices cette année, notamment des mises à jour du questionnaire d'auto-évaluation A, des FAQ liées aux critères d'éligibilité du SAQ A et, bien sûr, les orientations tant attendues élaborées par notre groupe de travail sur l'orientation sur le commerce électronique. Aujourd'hui, je suis rejoint par Lauren Holloway, directrice des normes de sécurité des données chez PCI SSC, pour expliquer toutes ces nouvelles directives. Bienvenue, Lauren.
Lauren Holloway : Merci Alicia. C'est formidable d'être avec vous aujourd'hui et de contribuer à clarifier toutes ces nouvelles informations que le Conseil a récemment publiées pour notre industrie.
Alicia Malone : Commençons donc par parler un peu plus de ces futures exigences de la version 4.0.1 de PCI DSS et de la date limite pour les adopter. Quels sont-ils et que faut-il savoir sur ce délai ?
Lauren Holloway : Eh bien, 64 nouvelles exigences ont été publiées dans la norme PCI DSS et 51 d'entre elles sont datées du futur. Ainsi, comme Alicia l'a dit, les exigences futures entreront en vigueur le 31 mars 2025. Les exigences 6.4.3 et 11.6.1, que vous avez mentionnées, pour les environnements de commerce électronique font partie de ces exigences futures. Nous avons reçu des commentaires selon lesquels ces exigences sont difficiles à mettre en œuvre pour bon nombre de nos parties prenantes, en particulier les petits commerçants. Nous voulions donc nous assurer de fournir de la clarté et des ressources pour vous aider dans votre parcours de validation.
Or, la date limite pour adopter ces nouvelles exigences est une date dont nous parlons depuis trois ans. La version 4.0 de PCI DSS a été introduite en 2022 et est devenue la seule version active de la norme lorsque la version 3.2.1 de PCI DSS a été retirée le 31 mars 2024. Les exigences futures figurent dans la norme depuis mars 2022 en tant que « meilleures pratiques » jusqu'au 31 mars 2025. Après cette date en 2025, ces exigences sont obligatoires et doivent être prises en compte dans leur intégralité lors d'une PCI DSS. évaluation.
Alicia Malone : Alors Lauren, pourquoi ces deux exigences en matière de commerce électronique ont-elles été ajoutées à la norme PCI DSS version 4 ?
Lauren Holloway : Eh bien, ces dernières années, les violations de données lors de transactions de commerce électronique, communément appelées attaques d'e-skimming, ont considérablement augmenté. À mesure que les plateformes de commerce électronique sont devenues plus complexes et que les entreprises sont devenues plus dépendantes de scripts externes dans leurs environnements de commerce électronique, ces attaques sont devenues plus courantes. Les scripts exécutés dans le navigateur d'un consommateur constituent désormais une cible majeure pour les attaquants cherchant à voler les données des cartes de paiement.
Par conséquent, les exigences 6.4.3 et 11.6.1 ont été initialement ajoutées à la version 4.0 de PCI DSS, et maintenant à la version 4.0.1, pour réduire le risque d'attaques par écrémage lors des transactions de commerce électronique. Ces exigences visent à garantir que les scripts des pages de paiement sont correctement autorisés, dont l'intégrité est vérifiée et surveillés contre toute falsification, ainsi qu'à empêcher les modifications non autorisées des pages Web.
Alicia Malone : Brillant. Le Conseil a annoncé en novembre de l'année dernière qu'il avait formé un groupe de travail sur les orientations sur le commerce électronique, qui a rassemblé l'expertise de l'ensemble de l'écosystème de sécurité des paiements, y compris l'expertise du personnel du PCI SSC, des représentants des marques de paiement, des membres du conseil consultatif et du conseil consultatif technique, de la table ronde mondiale des conseillers exécutifs, ou GEAR, et du groupe de travail sur les petites entreprises. Quelle était la mission de ce groupe de travail ?
Lauren Holloway : Oui, Alicia, l'objectif de ce groupe de travail était d'élaborer des conseils axés sur les exigences PCI DSS 6.4.3 et 11.6.1. Plus précisément, ils ont été chargés de produire un document d'orientation qui fournit des orientations claires et pratiques sur la manière dont les entités peuvent répondre à ces deux exigences, des orientations sur la manière dont les prestataires de services tiers peuvent aider leurs clients à répondre à ces exigences, ainsi que des stratégies de mise en œuvre pratiques au lieu d'un cadre théorique.
Or, ce nouveau document d'orientation a été publié la semaine dernière. Son nom est un peu long. Il s'intitule « Sécurité des pages de paiement et prévention de l'écrémage électronique : Guide des exigences PCI DSS 6.4.3 et 11.6.1 ». Ce document est destiné à toute entité qui traite des transactions par carte de paiement via le commerce électronique via des iframes intégrés ou avec une page Web susceptible d'affecter la sécurité des paiements du commerce électronique. Le supplément d'informations fournit des conseils spécifiques aux commerçants et aux fournisseurs de services tiers qui s'efforcent de se conformer aux exigences PCI DSS 6.4.3 et 11.6.1.
Alicia Malone : Il semble qu’un excellent document soit en préparation depuis un certain temps. Ainsi, en plus de produire ce document d'orientation complet, le Conseil a également annoncé des changements importants pour les commerçants validant le questionnaire d'auto-évaluation A, ou communément appelé SAQ A. Que pouvez-vous nous dire sur ces changements ?
Lauren Holloway : Eh bien, avant d'entrer dans le vif du sujet, il est important de se rappeler que le SAQ A inclut uniquement les exigences PCI DSS applicables aux commerçants dont les fonctions de données de compte sont entièrement externalisées à des tiers conformes à la norme PCI DSS, où le commerçant ne conserve que des rapports ou des reçus papier avec les données de compte. Et les commerçants de la SAQ A sont soit des commerçants en ligne, soit des commerçants par correspondance ou par téléphone. Fondamentalement, ce sont tous des commerçants sans carte. Et ces commerçants ne stockent, ne traitent ni ne transmettent aucune donnée de compte sous forme électronique dans leurs systèmes ou installations. Ainsi, les modifications que nous avons récemment apportées au SAQ A consistaient à supprimer ces deux exigences PCI DSS 6.4.3 et 11.6.1 pour la sécurité des pages de paiement. Et nous avons également supprimé l'exigence 12.3.1 pour une analyse de risque spécifique, car cette analyse de risque spécifique n'était là que pour prendre en charge l'exigence 11.6.1.
Nous avons également ajouté des critères d'éligibilité permettant aux commerçants de confirmer que leur site n'est pas sensible aux attaques de script susceptibles d'avoir un impact sur les systèmes de commerce électronique du commerçant. Maintenant, concernant ces nouveaux critères d'éligibilité, nous recevons beaucoup de questions sur ces critères d'éligibilité et nous avons récemment élaboré une FAQ mentionnée par Alicia pour aider à clarifier exactement ce que signifient ces critères d'éligibilité et comment un commerçant peut confirmer que son site Web n'est pas sensible aux attaques basées sur des scripts qui pourraient compromettre les systèmes de commerce électronique d'un commerçant. Ainsi, dans la FAQ, nous précisons que les commerçants peuvent le confirmer en utilisant des techniques telles que, sans s'y limiter, celles détaillées dans les exigences PCI DSS 6.4.3 et 11.6.1 pour protéger le site Web du commerçant contre les scripts ciblant les données de compte.
Désormais, ces techniques peuvent être mises en œuvre par le commerçant ou par un tiers. Alternativement, le commerçant peut obtenir une confirmation du fournisseur de services tiers ou du processeur de paiement conforme à la norme PCI DSS fournissant l'iframe intégré. Et cette confirmation serait lorsque mise en œuvre selon les instructions du tiers, la solution du tiers inclut des techniques qui protègent la page de paiement du commerçant contre les attaques de script. Nous précisons également qu'un fournisseur de scripts tiers n'est pas considéré comme un fournisseur de services tiers, ou TPSP, aux fins du SAQ A si le seul service du fournisseur est de fournir des scripts qui ne sont pas liés au traitement des paiements et lorsque ces scripts ne peuvent pas affecter la sécurité des données du compte de paiement. Maintenant, il est important de noter que ces exigences ont seulement été supprimées du SAQ A et sont toujours dans la norme.
Alicia Malone : C'est une bonne distinction à faire. Et tout cela est une excellente information. Quelles autres orientations pourraient être utiles en matière d’évaluations PCI DSS ?
Lauren Holloway : Eh bien, comme nous le savons tous, l'intelligence artificielle est un sujet brûlant en ce moment et nous avons travaillé dur pour produire de nouvelles lignes directrices en matière d'intégration de l'intelligence artificielle dans les évaluations PCI. En fait, ce guide vient tout juste de sortir des presses et a été récemment publié. Ces lignes directrices traitent des meilleures pratiques pour les évaluateurs et incluent des domaines de couverture clés, tels que l'information des clients sur l'implication de l'IA, l'obtention du consentement du client et la fourniture d'assurances quant à la sécurité des données des clients et à l'exactitude des résultats de l'évaluation.
Un autre domaine clé de couverture est l'utilisation de l'IA pour examiner des artefacts, créer des documents de travail, mener des entretiens à distance et générer des rapports d'évaluation finaux. Le guide couvre également l'importance des protocoles de traitement des données, de la validation du système d'IA, de l'utilisation éthique et des mises à jour régulières pour garantir la sécurité et l'exactitude des résultats.
Une partie importante à retenir dans ce guide est que l’IA est un outil et non un évaluateur. Les évaluateurs humains restent responsables de toutes les conclusions et décisions finales, garantissant que le rôle de l'IA est d'améliorer l'expérience plutôt que de la remplacer.
Alicia Malone : C'est très excitant d'avoir ce nouveau guide sur l'IA. Je suis sûr que ces nouvelles directives constitueront une ressource très utile pour les testeurs naviguant dans le nouveau monde de l'IA. Alors, Lauren, où nos auditeurs peuvent-ils trouver toutes ces nouvelles orientations ?
Lauren Holloway : Par conséquent, toutes ces orientations, y compris les orientations sur l'IA, le SAQ A, les nouvelles FAQ et les nouvelles orientations sur la mise en œuvre des exigences de sécurité du commerce électronique, peuvent être consultées sur le site Web du Conseil. Notre bibliothèque de documents contient la plupart de ces documents, mais vous souhaiterez également consulter la page FAQ de notre site Web. La nouvelle FAQ porte le numéro 1588. Je vous recommande de vous abonner au blog PCI Perspectives du Conseil pour recevoir les dernières informations directement dans votre boîte de réception dès leur publication.
Alicia Malone : Brillant. Eh bien, merci beaucoup de vous joindre à nous Café avec le ConseilLaurent. Il est très instructif d’en savoir plus sur toutes ces nouvelles orientations et je suis sûr que nos traders et sociétés de conseil trouveront ces informations très utiles.
Lauren Holloway : Avec plaisir, Alicia. Je suis heureux d'être ici aujourd'hui. J’espère que toutes ces clarifications et ces nouvelles orientations seront utiles.
Aimez-vous ce que vous avez entendu? Abonnez-vous au podcast « Coffee with the Council » de PCI SSC en visitant l'une des plateformes suivantes : Apple Podcasts, Spotify, Amazon Music, Anchor, Castbox, Google Podcasts, iHeartRadio, Pocket Casts, RadioPublic, Stitcher, Audible, Overcast ou Pandora.