La conformité à la norme de sécurité de l’industrie des cartes de paiement

Les détaillants et les boutiques en ligne sont une cible privilégiée des pirates informatiques. Et pour cause. Parce qu'une violation réussie d'un système de cartes de paiement peut leur rapporter d'énormes bénéfices financiers. Pourtant, malgré les risques, les commerçants s'efforcent toujours de répondre aux exigences de sécurité des cartes de paiement : selon le rapport 2020 de Verizon sur la sécurité des paiements, seules 27,9 % des organisations sont actuellement en mesure de maintenir une conformité totale avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Dans le même temps, le nombre de paiements par carte et sans contact continue d'augmenter, car les préférences des consommateurs évoluent régulièrement en faveur du plastique, des portefeuilles mobiles et des achats en ligne.

De plus, le secteur de la vente au détail est également en pleine révolution numérique, car il migre ses applications d'un matériel statique sur site vers une infrastructure complexe, évolutive et élastique basée sur le site cloud. Ces nouveaux environnements informatiques dynamiques exigent un changement d'orientation des méthodes de cybersécurité conventionnelles vers la protection des charges de travail individuelles, la sécurité des API et la gestion de la configuration.

Ce billet traite des exigences de conformité de la norme PCI-DSS et de leurs implications pour les systèmes de cartes de paiement hébergés dans des environnements hybrides-cloud et multi-cloud modernes. Commençons donc.

Évaluation gratuite TÉLÉCHARGER LE E-BOOK

Qu'est-ce que la norme PCI DSS ?

La norme PCI-DSS est une norme de traitement de l'information qui fournit un cadre pour la protection des transactions par carte de paiement et des données des titulaires de cartes contre les fraudeurs.

 

Il spécifie un ensemble de mesures de base que vous devez mettre en place pour minimiser le risque de compromission des données des titulaires de cartes.

 

La norme s'applique à toute entreprise ou organisation qui accepte ou traite des paiements par carte. Elle concerne donc principalement les commerces de détail et toute entreprise qui fournit des logiciels ou du matériel utilisés pour traiter les transactions.

 

Il diffère considérablement des lois sur la confidentialité des données, telles que le règlement général sur la protection des données (RGPD), qui affectent également le secteur de la vente au détail et du commerce électronique.

 

Par exemple, la norme PCI-DSS est une norme axée sur la sécurité. En revanche, la sécurité n'est qu'une partie de la réglementation sur la protection des données, qui couvre également des aspects de la vie privée tels que les avis de confidentialité sur les sites web, le consentement à l'ajout de coordonnées de clients à des listes de diffusion et les demandes de droit d'accès de la part des consommateurs.

 

La norme PCI-DSS a également été élaborée par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC), une organisation administrative formée par des processeurs de réseaux de paiement commerciaux . Cependant, les lois sur la protection de la vie privée sont administrées par des organismes gouvernementaux, que ce soit au niveau de l'État, au niveau national ou au niveau international.

Conformité et sanctions

La norme PCI-DSS définit différentes voies vers la conformité, chacune d'entre elles correspondant à l'un des quatre niveaux de conformité. Le nombre de transactions que vous traitez par an détermine le niveau de conformité qui vous est propre.

 

Les sociétés de cartes de paiement peuvent, à leur discrétion, infliger des amendes pour non-conformité à la norme PCI-DSS. En outre, une violation de la norme PCI-DSS est également susceptible de constituer une violation de la législation applicable en matière de protection de la vie privée, telle que le GDPR ou la loi californienne sur la protection de la vie privée des consommateurs (CCPA). Et éventuellement des lois nationales, comme la loi du Minnesota sur la sécurité des cartes plastiques (Plastic Card Security Act).

 

Ainsi, en cas d'infraction, vous pouvez être soumis à une multitude d'amendes et de sanctions financières.

Quelles sont les 12 exigences de PCI DSS Conformité ?

La conformité PCI-DSS spécifie douze exigences techniques et opérationnelles comme suit.

1. Installez et maintenez une configuration de pare-feu pour protéger les données des titulaires de cartes.

Un pare-feu est votre première ligne de défense. Il empêche le trafic potentiellement malveillant de pénétrer dans votre réseau sur la base d'un ensemble de règles préconfigurées.

 

Cependant, les pare-feu traditionnels basés sur le périmètre ne suffisent plus à protéger vos actifs cloud, car il n'y a pas de frontière claire entre vos utilisateurs et le réseau interne.

 

Pour résoudre ce problème, vous aurez besoin d'un pare-feucloud . Il fonctionne comme un pare-feu classique, mais a été spécifiquement adapté à la nature distribuée du site cloud, où les applications sont divisées en composants discrets dispersés dans votre environnement réseau.

2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et les autres paramètres de sécurité.

Les vendeurs de routeurs, de systèmes de point de vente et de composants connexes fournissent leur équipement avec des noms d'utilisateur, des mots de passe et des configurations par défaut afin de rendre l'installation et la configuration aussi rapides et faciles que possible.

 

Cela en fait une cible facile pour les cybercriminels.

 

Ces paramètres d'usine sont facilement accessibles aux fraudeurs, qui les exploitent pour accéder au réseau interne et voler les données des titulaires de cartes. N'utilisez donc que vos propres identifiants de connexion et configurations pour empêcher les pirates d'entrer.

 

Veillez également à ne pas utiliser d'autres configurations par défaut, telles que les autorisations d'accès. Les équipes CloudSecOps doivent s'assurer que les charges de travail de leurs applications et de cloud ne sont pas trop permissives et n'accordent que le niveau d'accès nécessaire aux ressources sensibles afin de réduire la surface d'attaque.

3. Protégez les données stockées concernant les titulaires de cartes

La meilleure façon de protéger les informations relatives aux titulaires de cartes est tout simplement d'éviter de les stocker. Toutefois, si vous en avez besoin à des fins professionnelles ou juridiques, vous devez prendre des mesures pour les rendre illisibles.

 

La méthode la plus courante et la plus pratique pour y parvenir consiste à crypter vos données. Pour être conforme à la norme PCI-DSS, tout chiffrement de ce type doit utiliser l'algorithme standard AES-256.

 

Mais n'oubliez pas que la sécurité de vos données dépend des clés que vous utilisez pour les crypter. Vous devez donc également protéger vos clés de chiffrement à l'aide d'un système de gestion des clés efficace.

 

Il est également important d'avoir une vision claire des données des titulaires de cartes que vous stockez en premier lieu, généralement grâce à l'utilisation d'outils de recherche de données et d'un inventaire de vos données.

4. Cryptage de la transmission des données des titulaires de cartes sur un réseau ouvert et public

Veillez à configurer correctement chacun de vos environnements cloud et sur site pour crypter les données des titulaires de cartes, à l'aide de la couche de sécurité du transport (TLS), lorsqu'elles transitent sur Internet entre les différentes parties de votre écosystème de cartes de paiement. Envisagez d'investir dans une solution complète de sécuritécloud réseau pour les nuages publics et hybrides.

 

N'oubliez pas non plus que les paiements effectués à l'aide d'un appareil mobile sont particulièrement exposés. Assurez-vous donc que chaque réseau sans fil utilise un mot de passe fort et le dernier protocole de sécurité Wi-Fi disponible.

5. Utilisez et mettez régulièrement à jour les logiciels ou programmes antivirus.

Votre logiciel antivirus (AV) doit être capable de protéger tous les environnements qui hébergent votre système de cartes de paiement - dans votre infrastructure hybride-cloud ou multi-cloud.

 

Mais il est également important d'être conscient des limites des logiciels AV.

 

De nouveaux types de menaces plus sophistiqués ont évolué pour cibler le déploiement basé sur cloud. Par conséquent, vous avez désormais besoin d'un plus large éventail d'approches de sécurité pour protéger les données des titulaires de cartes, telles que la sécurité de la gestion de la posture dans le nuage (CSPM) et la protection de la charge de travailcloud .

6. Développer et maintenir des systèmes et des applications sécurisés

L'objectif de l'exigence 6 est de s'assurer que vous intégrez la sécurité dans vos processus de développement et de cycle de vie de application. Il s'agit notamment de soutenir les pratiques de codage sécurisé par le biais de formations, de lignes directrices et de listes de contrôle, ainsi que d'examens réguliers de tout code d'application interne ou personnalisé.

 

Il couvre également la gestion des correctifs, les dispositions de la norme PCI-DSS stipulant que vous devez installer les correctifs critiques des logiciels tiers dans un délai d'un mois à compter de leur publication afin de maintenir la conformité.

7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin de savoir de l'entreprise

Vous devez limiter au strict minimum le nombre de personnes qui peuvent accéder aux données des titulaires de cartes en n'autorisant que celles qui ont un besoin professionnel légitime à le faire.

 

La façon la plus pratique de procéder consiste à mettre en œuvre un système de contrôle d'accès basé sur les rôles (RBAC), qui devrait accorder l'accès aux ressources sensibles, telles que les données des titulaires de cartes, sur la base du principe du moindre privilège.

8. Attribuez un identifiant unique à chaque personne ayant accès à l'ordinateur.

Chaque utilisateur autorisé de vos systèmes doit disposer d'un identifiant et d'un mot de passe uniques. Cela vous permet de connaître à tout moment l'identité de toute personne qui accède aux données du titulaire de la carte.

 

N'oubliez pas non plus que la norme PCI-DSS n'autorise désormais que les utilisateurs disposant de privilèges administratifs à accéder à distance à l'aide d'une authentification à deux facteurs (2FA).

9. Restreindre l'accès physique aux données des titulaires de cartes

Lorsque vous hébergez une application sur le site public cloud, vous vous déchargez de la responsabilité de la sécurité physique de vos serveurs sur votre fournisseur de services cloud. Cependant, vous avez toujours la responsabilité d'assurer la sécurité physique de votre poste appareil.

 

Vous devez donc prendre des mesures pour empêcher l'accès non autorisé aux appareils de paiement et aux postes de travail, notamment par la vidéosurveillance, des politiques et des procédures de sécurité, la formation du personnel, des contrôles de verrouillage basés sur la durée et la garantie que les écrans ne sont pas visibles par le grand public.

10. Suivre et contrôler tous les accès aux ressources du réseau et aux données des titulaires de cartes

L'enregistrement et le contrôle de l'accès à votre système de cartes de paiement vous aideront à détecter les premiers signes d'une activité suspecte et vous fourniront également des alertes et des informations en cas de problème.

 

Les besoins dans ce domaine ont évolué de la simple visibilité à l'observabilité, pour non seulement maintenir la visibilité sur tous vos composants de traitement des cartes, mais aussi pour identifier et remédier rapidement à tout problème. Pour ce faire, vous devrez peut-être vous tourner vers des outils de surveillance de nouvelle génération qui offrent une visibilité centralisée sur votre infrastructure hybride-cloud et multi-cloud.

11. Tester régulièrement les systèmes et les processus de sécurité

En complément d'autres mesures de sécurité, telles que l'analyse antivirus et la gestion des correctifs, vous devez régulièrement vérifier que votre système de cartes de paiement est suffisamment robuste pour résister aux menaces potentielles.

 

Il s'agira d'outils automatisés, tels que l'analyse de vulnérabilité, et d'approches manuelles, telles que les tests de pénétration. D'autres procédures de test doivent inclure des contrôles réguliers des lecteurs de cartes pour détecter les logiciels d'écrémage et des processus pour identifier les points d'accès sans fil non autorisés. Le cas échéant, vous devez prendre des mesures correctives en conséquence.

12. Maintenir une politique qui traite de la sécurité de l'information pour les employés et les contractants

Une politique de sécurité de l'information bien documentée et bien communiquée contribuera à sensibiliser le personnel aux risques qui pèsent sur les données des titulaires de cartes et à ses responsabilités en matière de protection.

 

Les politiques et procédures pertinentes doivent également être intégrées dans les manuels des employés, les accords avec les fournisseurs tiers, les évaluations des risques et les plans d'intervention en cas d'incident.

Au-delà de la conformité PCI-DSS

La conformité PCI-DSS est une nécessité pour toute organisation qui accepte des paiements par carte. Cependant, bien qu'il démontre que vous avez respecté les exigences de base en matière de traitement des données des titulaires de cartes, il ne garantit pas nécessairement une protection totale.

 

En outre, la transformation numérique et la migration vers le cloud ont déplacé les objectifs de sécurité. Vous devez donc aller au-delà des exercices de cochage de cases et des méthodes traditionnelles de sécurité.

 

Cela nécessite de nouvelles solutions adaptées à la nature complexe et dynamique du déploiement hybride-cloud et multi-cloud.

 

Par exemple, vous devriez envisager une plateforme de protection de la charge de travail cloud (CWPP), qui protège les applications individuelles ainsi que les processus et les ressources qui les prennent en charge. Vous devriez compléter cela par une solution de gestion de la sécurité du cloud (CSPM), qui peut identifier les risques de sécurité en surveillant et en comparant en permanence les configurations aux meilleures pratiques et aux exigences de Conformité.

 

Vous devez également protéger les titulaires de cartes contre les nouvelles menaces de plus en plus sophistiquées d'aujourd'hui grâce à une solution qui offre des capacités de sécurité sur le réseau cloud .

 

Avant tout, vous devez rechercher des outils qui offrent une protection continue, plutôt que de vous contenter d'obtenir la conformité une fois par an, avec une visibilité unifiée de tous les composants de votre système de cartes de paiement à partir d'une seule vitre.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK