PCI DSS

Présentation de: Norme de sécurité des données de l'industrie des cartes de paiement

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble largement accepté de politiques et de procédures visant à optimiser la sécurité des transactions par carte de crédit, de débit et de paiement et à protéger les titulaires de carte contre l'utilisation abusive de leurs informations personnelles. Le PCI DSS a été créé conjointement en 2004 par quatre grandes sociétés de cartes de crédit: Visa, MasterCard, Discover et American Express.

Le PCI DSS spécifie et développe six objectifs majeurs.

Premièrement, un réseau sécurisé doit être maintenu dans lequel les transactions peuvent être effectuées. Cette exigence implique l'utilisation de pare-feu suffisamment robustes pour être efficaces sans causer de désagréments inutiles aux titulaires de carte ou aux fournisseurs. Des pare-feu spécialisés sont disponibles pour les réseaux locaux sans fil, qui sont très vulnérables aux écoutes clandestines et aux attaques de pirates malveillants. En outre, les données d'authentification telles que les numéros d'identification personnels (PIN) et les mots de passe ne doivent pas impliquer de valeurs par défaut fournies par les fournisseurs. Les clients doivent pouvoir modifier facilement et fréquemment ces données.

Deuxièmement, les informations des titulaires de carte doivent être protégées partout où elles sont stockées. Les référentiels contenant des données vitales telles que les dates de naissance, les noms de jeune fille des mères, les numéros de sécurité sociale, les numéros de téléphone et les adresses postales doivent être protégés contre le piratage. Lorsque les données des titulaires de carte sont transmises via des réseaux publics, ces données doivent être cryptées de manière efficace. Le cryptage numérique est important dans toutes les formes de transactions par carte de crédit, mais en particulier dans le commerce électronique effectué sur Internet.

Troisièmement, les systèmes doivent être protégés contre les activités de pirates malveillants en utilisant des logiciels antivirus, des programmes anti-logiciels espions et d'autres solutions anti-malwares fréquemment mis à jour. Toutes les applications doivent être exemptes de bogues et de vulnérabilités qui pourraient ouvrir la porte à des exploits dans lesquels les données de titulaires de carte pourraient être volées ou modifiées. Les correctifs proposés par les fournisseurs de logiciels et de systèmes d'exploitation (OS) doivent être régulièrement installés pour garantir le niveau le plus élevé possible de gestion des vulnérabilités.

Quatrièmement, l'accès aux informations et aux opérations du système doit être restreint et contrôlé. Les titulaires de carte ne devraient pas être tenus de fournir des informations aux entreprises, à moins que ces dernières ne les connaissent pour se protéger et effectuer efficacement une transaction. Toute personne qui utilise un ordinateur dans le système doit se voir attribuer un nom ou un numéro d'identification unique et confidentiel. Les données des titulaires de carte doivent être protégées physiquement et électroniquement. Les exemples incluent l'utilisation de destructeurs de documents, la prévention de la duplication inutile de documents papier et les verrous et chaînes sur les bennes à ordures pour décourager les criminels qui autrement fouilleraient dans les poubelles.

Fifth, networks must be constantly monitored and regularly tested to ensure that all security measures and processes are in place, are functioning properly, and are kept up-do-date. For example, anti-virus and anti-spyware programs should be provided with the latest definitions and signatures. These programs should scan all exchanged data, all applications, all random-access memory (RAM) and all storage media frequently if not continuously.

Sixièmement, une politique formelle de sécurité de l'information doit être définie, maintenue et suivie à tout moment et par toutes les entités participantes. Des mesures d'application telles que des audits et des sanctions en cas de non-conformité peuvent être nécessaires.

Toute organisation qui gère les cartes de paiement, y compris les cartes de débit et de crédit, doit répondre aux 12 exigences directement ou par le biais d'un contrôle compensatoire. Cependant, les contrôles compensatoires ne sont pas toujours autorisés et doivent être approuvés au cas par cas par un PCI QSA. Le non-respect des exigences PCI DSS 12 peut entraîner des amendes ou la résiliation des privilèges de traitement des cartes de crédit.

Les exigences pci DSS 12 sont les suivantes :

1. Installez et maintenez une configuration de pare-feu pour protéger les données des titulaires de carte.

2. N’utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité.

3. Protégez les données stockées des titulaires de carte.

4. Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts.

5. Utilisez et mettez régulièrement à jour un logiciel antivirus.

6. Développer et maintenir des systèmes et des applications sécurisés.

7. Restreindre l’accès aux données des titulaires de carte par besoin de savoir.

8. Attribuez une pièce d’identité unique à chaque personne ayant accès à l’ordinateur.

9. Restreindre l'accès physique aux données des titulaires de carte.

10. Suivez et surveillez tous les accès aux ressources du réseau et aux données des titulaires de carte.

11. Tester régulièrement les systèmes et processus de sécurité.

12. Maintenez une politique qui traite de la sécurité de l'information.

X