ControlCase

IT Certifications, Continuous Compliance and Cybersecurity Services Provider

You are here: Home / Blog / Aide-Mémoire PCI DSS v4.0
Télécharger gratuitement Aide-Mémoire PCI DSS v4.0
Aide-Mémoire PCI DSS v4.0

Aide-Mémoire PCI DSS v4.0

En mars 2022, le Payment Card Industry Security Standards Council a annoncé une nouvelle version de la norme PCI DSS.
La version précédente de la norme est PCI DSS v3.2.1, qui est en vigueur depuis mai 2018. Voici un rapide historique des versions de la norme :

  • PCI DSS v1 – publié en décembre 2004
  • PCI DSS v1.1- Publié en septembre 2006
  • PCI DSS v1.2- publié en octobre 2008
  • PCI DSS v2 – publié en octobre 2010
  • PCI DSS v3 – publié en novembre 2013
  • PCI DSS v3.1 – publié en avril 2015
  • PCI DSS v3.2 – publié en avril 2016
  • PCI DSS v3.2.1 – Publié en mai 2018
  • PCI DSS v4 – publié en mars 2022

 

Qu’est-ce que la norme PCI DSS?

La norme de sécurité des données PCI (PCI DSS) a été établie en 2004 par les principaux émetteurs de cartes de paiement.
Elle est maintenue par le Conseil des normes de sécurité PCI. Il fournit des exigences opérationnelles et techniques pour protéger les données des titulaires de cartes.

Les objectifs de la norme PCI DSS v4.0 sont de continuer à répondre aux besoins de sécurité du secteur des paiements, de promouvoir la sécurité en tant que processus continu, d’ajouter de la flexibilité pour différentes méthodologies et d’améliorer les méthodes de validation.

Chronologies

Chacune de ces exigences futures est notée dans la norme comme une meilleure pratique jusqu’au 31 mars 2025. Les entités ne sont pas tenues de les valider avant cette date, après quoi elles deviennent obligatoires.

Une fois que les évaluateurs ont terminé la formation sur PCI DSS v4.0, les organisations peuvent évaluer soit PCI DSS v4.0 soit PCI DSS v3.2.1.

Après le 1er avril 2024, seule la v4.0 sera la norme active pouvant être utilisée pour les évaluations.

Dates à retenir

  • Q1 2022 – Publication officielle : PCI DSS v4.0 avec documents de validation.
  • T2 2022 – Formation ISA/QSA et documents de soutien.
  • 31 mars 2024 – Retrait de la norme PCI DSS v3.2.1.
  • 31 mars 2025 – Les nouvelles exigences à date ultérieure entrent en vigueur.
Webinaire ControlCase PCI DSS 4.0 (en anglais)
Webinaire ControlCase PCI DSS 4.0

Exemples de changements entre PCI DSS v3.2.1 et v4.0

OBJECTIF : CONTINUER À RÉPONDRE AUX BESOINS DE SÉCURITÉ DU SECTEUR DES PAIEMENTS

Les pratiques de sécurité doivent évoluer pour continuer à répondre aux besoins de sécurité du secteur des paiements à mesure que les menaces changent.
Exemples de changements dans la v4.0 :

  • Mise à jour des exigences en matière d’authentification multifactorielle (MFA).
  • Mise à jour des exigences en matière de mots de passe, conformément aux meilleures pratiques actuelles du secteur.
  • Ajout de nouvelles normes en matière de commerce électronique et de phishing pour faire face aux menaces permanentes.
  • Mise à jour des exigences relatives au traitement sécurisé des données d’authentification sensibles (DAS).
  • Ajout d’une exigence d’analyse de vulnérabilité interne authentifiée pour une meilleure connaissance du paysage de vulnérabilité des organisations.

OBJECTIF : PROMOUVOIR LA SÉCURITÉ EN TANT QUE PROCESSUS CONTINU

Promouvoir la sécurité comme un processus continu, car une sécurité permanente est essentielle pour protéger les données de paiement.
Exemples de changements dans la v4.0 :

  • Rôles et responsabilités clairement attribués au personnel travaillant sur chaque exigence.
  • Des conseils ont été ajoutés à l’ensemble des exigences pour aider les organisations à mieux comprendre comment mettre en œuvre et maintenir la sécurité.
  • Ajout d’une nouvelle option de rapport permettant de mettre en évidence les domaines à améliorer et offrant une plus grande transparence pour les examinateurs des rapports. les examinateurs des rapports.

OBJECTIF : ACCROÎTRE LA FLEXIBILITÉ DES ORGANISATIONS UTILISANT DIFFÉRENTES MÉTHODES POUR ATTEINDRE LES OBJECTIFS DE SÉCURITÉ

Fournir plus d’options et différentes méthodes de validation afin d’accroître la flexibilité des organisations pour atteindre les objectifs de sécurité et soutenir l’innovation dans les technologies de paiement.
Exemples de changements dans la v4.0 :

  • Autorise l’utilisation de comptes de groupe, partagés et publics avec des exceptions.
  • Introduction d’analyses de risques ciblées qui permettent aux organisations de déterminer la fréquence d’exécution de certaines activités.
  • L’introduction d’une nouvelle méthode d’approche personnalisée pour valider les exigences PCI DSS, donne aux organisations une autre option pour envisager des méthodes innovantes pour atteindre leurs objectifs de sécurité.

OBJECTIF: AMÉLIORER LES MÉTHODES ET PROCÉDURES DE VALIDATION

Améliorer les méthodes et procédures de validation avec des options de validation et de rapport claires pour favoriser la transparence et la granularité.
Exemples de changements dans la v4.0 :

  • Alignement accru entre les informations rapportées dans un rapport de conformité ou un questionnaire d’auto-évaluation et les informations résumées dans une attestation de conformité.
  • Questionnaire et informations résumées dans une attestation de conformité.

Changements critiques de PCI DSS v3.2.1 à v4.0

Changements méthodologiques

  • Plusieurs petites mises à jour dans les exigences avec des clarifications ou des orientations supplémentaires
  • Introduction d’une approche personnalisée pour offrir une méthode supplémentaire de validation des exigences afin de répondre à l’objectif de l’exigence
  • Introduction d’une analyse de risque ciblée pour diverses exigences critiques
  • Pour les prestataires de services – Confirmation du champ d’application de la norme PCI DSS au moins une fois tous les 6 mois et en cas de changement important dans l’environnement concerné.

Nouvelles exigences qui peuvent nécessiter des efforts/une mise en œuvre importants

  • Exigences strictes en matière de mots de passe et d’authentification multifactorielle (MFA)
  • Mécanismes de détection et de protection du personnel contre les attaques de phishing
  • Solution technique automatisée pour les applications web destinées au public, qui détecte et prévient en permanence les attaques basées sur le web
  • Mécanismes automatisés pour examiner les journaux d’audit pour tous les systèmes CDE et critiques
  • Analyse des vulnérabilités internes via un scan authentifié

Où trouver de plus amples informations :

 

Conseil des normes de sécurité PCI : PCI DSS v4.0 est maintenant disponible : Ressources et les événements d'engagement
PCI DSS v4.0 est maintenant disponible

 

Conseil des normes de sécurité PCI : Bibliothèque de documents
Conseil des normes de sécurité PCI : Bibliothèque de documents

 

ControlCase est un fournisseur mondial de services de certification, de cybersécurité et de conformité continue. ControlCase s’engage à donner aux organisations les moyens de développer et de déployer des programmes stratégiques de sécurité de l’information et de conformité qui sont simplifiés, rentables et complets dans les environnements sur site et en nuage. ControlCase propose des certifications et un large éventail de services de cybersécurité qui répondent aux besoins des entreprises devant se conformer aux normes PCI DSS, HITRUST, SOC 2 Type II, ISO 27001, PCI PIN, PCI P2PE, PCI TSP, PCI SSF, CSA STAR, HIPAA, GDPR, SWIFT et FedRAMP.

Related Blog

Webinaire PCI DSS v4.0
Ce webinaire de 45 minutes couvrira les questions suivantes : À propos de ControlCase, À propos de PCI SS, À propos de PCI DSS, Historique de la norme PCI DSS, Actualisation PCI DSS v4.0 de ControlCase, Plongée en profondeur : Changements notables, Chronologie de la norme PCI DSS v4.0
Quelles Sont les 12 Exigences de Conformité PCI DSS?
Payment card industry (PCI) compliance is mandated by credit card companies to help ensure the security of credit card transactions in the payments industry. Payment card industry compliance refers to the technical and operational standards that businesses follow to secure and protect credit card data provided by cardholders and transmitted through card processing transactions. The requirements set forth by the PCI SSC are both operational and technical, and the core focus of these rules is always to protect cardholder data.
Désormais tout est privé .... Non signifie Non ...
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.
Désormais tout est privé - Le barème prêt
La poussée vers la digitalisation à travers le monde signifie que diverses industries telles que la vente au détail, la santé, la restauration, etc. ont migré une part importante de leurs activités / services vers le mode en ligne. Cela oblige les consommateurs à partager leurs données personnelles ou sensibles (par exemple, numéros de carte, numéros SSN, dossiers médicaux, données d'identification, etc.) sur ces canaux en ligne.