ControlCase

IT Certifications, Continuous Compliance and Cybersecurity Services Provider

You are here: Home / Blog / Quelles Sont les 12 Exigences de Conformité PCI DSS?
MSP : obtenez votre proposition PCI en 5 minutes !
Commencez votre auto-évaluation maintenant

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est exigée par le contrat pour ceux qui traitent les données des titulaires de cartes, que vous soyez une start-up ou une entreprise mondiale. Votre entreprise doit toujours être conforme, et votre conformité doit être validée chaque année. Elle est généralement imposée par les sociétés de cartes de crédit et abordée dans les accords relatifs aux réseaux de cartes de crédit.
Le Conseil des normes PCI (SSC) est responsable de l’élaboration des normes de conformité PCI. Son objectif est d’aider à sécuriser et à protéger l’ensemble de l’écosystème des cartes de paiement. Ces normes s’appliquent aux commerçants, aux prestataires de services traitant des transactions de paiement par carte de crédit/débit.

C’EST QUOI LA CONFORMITE PCI DSS?

La conformité à l’industrie des cartes de paiement (PCI) est imposée par les sociétés de cartes de crédit afin de garantir la sécurité des transactions par carte de crédit dans le secteur des paiements. La conformité à l’industrie des cartes de paiement fait référence aux normes techniques et opérationnelles que les entreprises suivent pour sécuriser et protéger les données des cartes de crédit fournies par les titulaires de cartes et transmises lors des transactions de traitement des cartes. Les normes PCI de conformité sont élaborées et gérées par le Conseil des normes de sécurité PCI.

LES 12 EXIGENCES DU PCI DSS

Les exigences définies par le PCI SSC sont à la fois opérationnelles et techniques, et l’objectif principal de ces règles est toujours de protéger les données des titulaires de cartes.

Les 12 exigences de la norme PCI DSS sont les suivantes :

  1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes.
  2. N’utilisez pas les valeurs par défaut fournies pour les mots de passe système et autres paramètres de sécurité.
  3. Protéger les données stockées des titulaires de cartes
  4. Cryptage de la transmission des données des titulaires de cartes sur des réseaux publics et ouverts
  5. Utilisez et mettez régulièrement à jour un logiciel ou un programme anti-virus.
  6. Développer et maintenir des systèmes et des applications sécurisés.
  7. Restreindre l’accès aux données des titulaires de cartes en fonction des besoins de l’entreprise.
  8. Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur.
  9. Limiter l’accès physique aux données des titulaires de cartes.
  10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes.
  11. Tester régulièrement les systèmes et processus de sécurité.
  12. Maintenir une politique qui traite de la sécurité de l’information pour tout le personnel.

Avant d’aborder les exigences PCI DSS, vous voudrez également savoir comment définir le champ d’application PCI DSS. Il est crucial de réduire la portée de l’audit PCI DSS car cela vous aidera à réduire vos coûts de conformité, vos coûts opérationnels et le risque associé à l’interaction avec les données des cartes de paiement.

Liste de contrôle des exigences de conformité à la norme PCI DSS
TÉLÉCHARGER MAINTENANT

Les 12 exigences PCI DSS sont un ensemble de contrôles de sécurité que les entreprises sont tenues de mettre en œuvre pour protéger les données des cartes de crédit et se conformer à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

EXIGENCE PCI DSS 1: INSTALLER ET GERER UNE CONFIGURATION DE PARE-FEU POUR PROTÉGER LES DONNÉES DES TITULAIRES DE CARTE

Cette première exigence garantit que les fournisseurs de services et les commerçants maintiennent un réseau sécurisé grâce à la configuration adéquate d’un pare-feu et de routeurs, le cas échéant. Des pare-feu correctement configurés protègent votre environnement de données de cartes. Les pare-feu limitent le trafic réseau entrant et sortant grâce à des règles et des critères configurés par votre organisation.
Les pare-feu constituent la première ligne de protection de votre réseau. Les organisations doivent établir des règles pour les pare-feu et les routeurs, qui permettent un processus standardisé pour autoriser ou refuser les accès au réseau. Les règles de configuration doivent être revues deux fois par an pour s’assurer qu’il n’y a pas de règles d’accès non sécurisées permettant d’accéder à l’environnement de données des cartes.

EXIGENCE PCI DSS 2 : N’UTILISEZ PAS LES PARAMÈTRES PAR DÉFAUT FOURNIS PAR LE FOURNISSEUR POUR LES MOTS DE PASSE SYSTÈME ET LES AUTRES PARAMÈTRES DE SÉCURITÉ

Elle se concentre sur le renforcement des systèmes de votre organisation tels que les serveurs, les périphériques réseau, les applications, les pare-feu, les points d’accès sans fil, etc. La plupart des systèmes d’exploitation et des périphériques sont livrés avec des paramètres par défaut tels que des noms d’utilisateur, des mots de passe et d’autres paramètres de configuration non sécurisés. Ces noms d’utilisateur et mots de passe par défaut sont faciles à deviner, et la plupart sont même publiés sur Internet.
Ces mots de passe par défaut et autres paramètres de sécurité ne sont pas autorisés par cette exigence. Cette exigence demande également de maintenir un inventaire de tous les systèmes, des procédures de configuration/d’entretien. Ces procédures doivent être suivies chaque fois qu’un nouveau système est introduit dans l’infrastructure informatique.

EXIGENCE DU DSS PCI 3 : PROTÉGER LES DONNÉES STOCKÉES DU TITULAIRE DE LA CARTE

Il s’agit de l’exigence la plus importante de la norme PCI. Selon l’exigence 3, vous devez d’abord connaître toutes les données que vous allez stocker, ainsi que leur emplacement et leur période de conservation. Toutes ces données relatives aux titulaires de cartes doivent être soit cryptées à l’aide d’algorithmes reconnus par l’industrie (par exemple, AES-256, RSA 2048), soit tronquées, tokenisées ou hachées (par exemple, SHA 256, PBKDF2). Outre le cryptage des données de la carte, cette exigence porte également sur un processus solide de gestion des clés de cryptage PCI DSS.
Souvent, les fournisseurs de services ou les commerçants ne savent pas qu’ils stockent des numéros de compte primaires (PAN) non cryptés, d’où l’importance d’utiliser un outil tel que la recherche de données de cartes. Vous noterez que les emplacements courants où les données de carte sont trouvées sont les fichiers journaux, les bases de données, les feuilles de calcul, etc. Cette exigence comprend également des règles sur la façon dont les numéros de compte primaires doivent être affichés, par exemple en ne révélant que les six premiers et les quatre derniers chiffres.

EXIGENCE PCI DSS 4 : CRYPTAGE DE LA TRANSMISSION DES DONNÉES DU TITULAIRE DE CARTE SUR DES RÉSEAUX PUBLICS OUVERTS

Comme pour l’exigence 3, dans cette exigence, vous devez sécuriser les données de la carte lorsqu’elles sont transmises sur un réseau ouvert ou public (par exemple, Internet, 802.11, Bluetooth, GSM, CDMA, GPRS). Vous devez savoir où vous allez envoyer/recevoir les données de la carte vers/depuis. En général, les données de la carte sont transmises à la passerelle de paiement, au processeur, etc. pour le traitement des transactions.
Les cybercriminels peuvent potentiellement accéder aux données des titulaires de cartes lorsqu’elles sont transmises sur des réseaux publics. Le cryptage des données des titulaires de cartes avant leur transmission à l’aide d’une version sécurisée des protocoles de transmission tels que TLS, SSH, etc. peut limiter la probabilité que ces données soient compromises.

EXIGENCE PCI DSS 5 : UTILISATION ET MISE À JOUR RÉGULIÈRE D’UN LOGICIEL OU D’UN PROGRAMME D’ANTI-VIRUS

Cette exigence porte sur la protection contre tous les types de logiciels malveillants qui peuvent affecter les systèmes. Une solution antivirus doit être déployée sur tous les systèmes, y compris les postes de travail, les ordinateurs portables et les appareils mobiles que les employés peuvent utiliser pour accéder au système en local et à distance. Vous devez vous assurer que les programmes antivirus ou anti-malware sont mis à jour régulièrement pour détecter les malwares connus. Le maintien d’un programme anti-malware à jour empêchera les malwares connus d’infecter les systèmes.
Assurez-vous que les mécanismes antivirus sont toujours actifs, qu’ils utilisent les dernières signatures et qu’ils génèrent des journaux vérifiables.

EXIGENCE PCI DSS 6 : DÉVELOPPER ET GERER MAINTENIR DES SYSTÈMES ET DES APPLICATIONS SÉCURISÉS

Il est important de définir et de mettre en œuvre un processus permettant d’identifier et de classer le risque de vulnérabilités de sécurité dans l’environnement PCI DSS par le biais de sources externes fiables. Les organisations doivent limiter le potentiel d’exploitation en déployant les correctifs critiques en temps voulu. Appliquez des correctifs à tous les systèmes de l’environnement des données de cartes, notamment :

  • Systèmes d’exploitation
  • Pare-feu, routeurs et commutateurs
  • Logiciel d’applicationn
  • Bases de données
  • Terminaux de point de vente

En outre, elle vous oblige à définir et à mettre en œuvre un processus de développement qui intègre les exigences de sécurité dans toutes les phases du développement.
Vous avez besoin d’aide pour la mise en œuvre de la norme PCI DSS ? Nos QSAs peuvent vous aider.

EXIGENCE PCI DSS 7 : RESTREINDRE L’ACCES AUX DONNEES DES TITULAIRES DE CARTES EN FONCTION DES BESOINS DE L’ENTREPRISE

Pour mettre en œuvre de solides mesures de contrôle d’accès, les fournisseurs de services et les commerçants doivent être en mesure d’autoriser ou de refuser l’accès aux systèmes de données des titulaires de cartes. Cette exigence est liée au contrôle d’accès basé sur les rôles (RBAC), qui accorde l’accès aux données et aux systèmes des cartes en fonction du besoin de savoir.
Le besoin de savoir est un concept fondamental de la norme PCI DSS. Le système de contrôle d’accès (par exemple Active Directory, LDAP) doit évaluer chaque demande pour empêcher l’exposition de données sensibles à ceux qui n’ont pas besoin de ces informations. Vous devez disposer d’une liste documentée de tous les utilisateurs, avec leurs rôles, qui doivent accéder à l’environnement des données de cartes. Cette liste doit contenir, pour chaque rôle, la définition du rôle, le niveau de privilège actuel, le niveau de privilège attendu et les ressources de données permettant à chaque utilisateur d’effectuer des opérations sur les données de cartes.

L’EXIGENCE PCI DSS 8 : ATTRIBUEZ UN IDENTIFIANT UNIQUE A CHAQUE PERSONNE AYANT ACCES A UN ORDINATEUR

Selon l’exigence 8, vous ne devez pas utiliser d’utilisateur et de mots de passe partagés/de groupe. Chaque utilisateur autorisé doit avoir un identifiant unique et les mots de passe doivent être suffisamment complexes. Ainsi, chaque fois qu’une personne accède aux données du titulaire de la carte, cette activité peut être retracée jusqu’à un utilisateur connu et la responsabilité peut être maintenue. Pour tout accès administratif hors console (accès à distance), une autorisation à deux facteurs est requise.

EXIGENCE PCI DSS 9 : RESTREINDRE L’ACCÈS PHYSIQUE AUX DONNÉES DU TITULAIRE DE CARTE

Cette exigence porte sur la protection de l’accès physique aux systèmes contenant des données de titulaires de cartes. Sans contrôle d’accès physique, des personnes non autorisées pourraient accéder à l’installation pour voler, désactiver, interrompre ou détruire les systèmes critiques et les données des titulaires de cartes.
Il faut utiliser des caméras vidéo et un contrôle d’accès électronique pour surveiller les portes d’entrée et de sortie de lieux physiques tels que des centres de données. Les enregistrements ou les journaux d’accès des mouvements du personnel doivent être conservés pendant au moins 90 jours. Vous devez mettre en place un processus d’accès qui permette de distinguer les visiteurs autorisés des employés. Tous les supports amovibles ou portables contenant les données du titulaire de la carte doivent être protégés physiquement. Il est nécessaire de détruire tous les supports lorsque l’entreprise n’en a plus besoin.

EXIGENCE PCI DSS 10 : SUIVRE ET SURVEILLER TOUS LES ACCÈS AUX RESSOURCES DU RÉSEAU ET AUX DONNÉES DES TITULAIRES DE CARTE

Les vulnérabilités des réseaux physiques et sans fil permettent aux cybercriminels de voler plus facilement les données des cartes. Cette exigence requiert que tous les systèmes soient dotés d’une politique d’audit correcte et envoient les journaux au serveur syslog centralisé. Ces journaux doivent être examinés au moins une fois par jour pour rechercher les anomalies et les activités suspectes.
Les outils de surveillance des informations et des événements de sécurité (SIEM) peuvent vous aider à consigner les activités du système et du réseau, à surveiller les journaux et à signaler les activités suspectes. PCI DSS exige également que les enregistrements de la piste d’audit répondent à une certaine norme en termes d’informations contenues. Une synchronisation temporelle est requise. Les données d’audit doivent être sécurisées, et ces données doivent être conservées pendant une période qui ne peut être inférieure à un an.

EXIGENCE PCI DSS 11 : TESTER RÉGULIÈREMENT LES SYSTÈMES ET PROCESSUS DE SÉCURITÉ

Les vulnérabilités sont découvertes en permanence par des individus et des chercheurs malveillants. Par conséquent, tous les systèmes et processus doivent être testés fréquemment pour garantir le maintien de la sécurité.

Les activités périodiques suivantes sont nécessaires :

  1. Analyse de l’analyseur sans fil pour détecter et identifier tous les points d’accès sans fil autorisés et non autorisés sur une base trimestrielle.
  2. Toutes les adresses IP externes et tous les domaines exposés dans le CDE doivent être analysés par un fournisseur d’analyse approuvé par PCI (ASV) au moins une fois par trimestre.
  3. Une analyse de vulnérabilité interne doit être effectuée au moins une fois par trimestre.
  4. Tous les IP et domaines externes doivent être soumis à un test de pénétration exhaustif des applications et du réseau au moins une fois par an ou après tout changement significatif.

La surveillance des fichiers est également une nécessité. Le système doit effectuer des comparaisons de fichiers chaque semaine pour détecter les changements qui auraient pu passer inaperçus.

EXIGENCE PCI DSS 12 : MAINTENIR UNE POLITIQUE QUI PORTE SUR LA SÉCURITÉ DES INFORMATIONS POUR L’ENSEMBLE DU PERSONNEL

Cette dernière exigence de la conformité PCI est consacrée à l’objectif central de la norme PCI DSS, à savoir la mise en œuvre et le maintien d’une politique de sécurité des informations pour tous les employés et autres parties concernées. La politique de sécurité des informations doit être révisée au moins une fois par an et diffusée à tous les employés, vendeurs et sous-traitants. Les utilisateurs doivent lire la politique et la reconnaître.

Cette exigence vous oblige également à effectuer :

  1. Une évaluation annuelle et formelle des risques qui identifie les actifs critiques, les menaces et les vulnérabilités.
  2. Formation de sensibilisation des utilisateurs
  3. Vérification des antécédents des employés
  4. Gestion des incidents

Toutes ces exigences sont examinées par QSA et il est vérifié qu’elles sont correctement mises en œuvre.
La conformité à la norme PCI DSS n’est pas facile, même pour les entreprises les mieux intentionnées. Bien qu’il s’agisse d’une norme difficile à respecter, les avantages en valent la peine. Malgré les difficultés, les entreprises doivent s’efforcer de se conformer à la norme PCI DSS, car le non-respect de cette norme peut entraîner des conséquences importantes.

Pour discuter de vos besoins spécifiques en matière d’audit PCI DSS ou d’autres services de sécurité, contactez-nous ici.

Contact Us
Satya Rane
ControlCase, CIO
PCI QSA, PA QSA, P2PE, CISSP, CEH, ASV, PCI SSF/SLC, 3DS QSA

Related Blog

Aide-Mémoire PCI DSS v4.0
La norme de sécurité des données PCI (PCI DSS) a été établie en 2004 par les principaux émetteurs de cartes de paiement. Elle est maintenue par le Conseil des normes de sécurité PCI. Il fournit des exigences opérationnelles et techniques pour protéger les données des titulaires de cartes.
Désormais tout est privé .... Non signifie Non ...
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.
Désormais tout est privé - Le barème prêt
La poussée vers la digitalisation à travers le monde signifie que diverses industries telles que la vente au détail, la santé, la restauration, etc. ont migré une part importante de leurs activités / services vers le mode en ligne. Cela oblige les consommateurs à partager leurs données personnelles ou sensibles (par exemple, numéros de carte, numéros SSN, dossiers médicaux, données d'identification, etc.) sur ces canaux en ligne.

About Us

ControlCase is a global provider of certification, cybersecurity, and continuous compliance services. ControlCase is committed to empowering organizations to develop and deploy strategic information security and compliance programs that are simplified, cost-effective, and comprehensive in both on-premise and cloud environments.
ControlCase offers certifications and a broad spectrum of cyber security services that meet the needs of companies required to certify to PCI DSS, HITRUST, SOC2, CMMC, ISO 27001, PCI PIN, PCI P2PE, PCI TSP, PCI SSF, CSA STAR, HIPAA, GDPR, SWIFT, and FedRAMP.