Qu'est-ce que le PCI DSS?

La norme PCI DSS (Payment Card Industry Data Security Standard) a été élaborée par les sociétés de carte de paiement, c’est-à-dire American Express, Discover Financial Services, JCB International, MasterCard Worldwide and Visa Inc, pour aider à faciliter une large adoption de mesures de sécurité des bases de données. C’est une norme globale qui créé un standard commun pour la sécurité des tous les circuits de paiement touchant les cartes bancaires.

Toute organisation qui émet, conserve, ou traite des données de carte de paiement est tenue de se conformer à la Norme PCI DSS ; le non-respect de ce cadre réglementaire peut entraîner des amendes et frais élevés. L’impact négatif des cyberattaques sur la confiance des clients et sur l’activité financière rend la protection des données de carte de paiement non seulement importante mais essentielle, et ce, quelque soit le type de commerce.
Les grands détaillants en ligne ne sont pas les seules organisations ciblées. L’attention du public est souvent focalisée sur des pertes de sociétés importantes, mais il s’avère que de plus en plus d’actions criminelles visent des sites e-commerce de petite taille.

Les dégâts liés au cybercrime réduisent la confiance des consommateurs et ralentissent la progression de l'e-commerce.

Quel est donc l'objectif majeur du PCI?

Encourager l'adoption de bonnes pratiques existantes et de technologies émergeantes pour faciliter un cadre de transaction de carte sûr qui stimulera la compétition et augmentera la croissance des revenus.

Quelles sont les Bonnes Pratiques PCI?

Pour respecter la norme PCI DSS les organisations devront procéder à une mise en conformité suite à une analyse informatique réalisée par le biais d'audits.
Les sociétés doivent faire valider leurs processus de sécurité en se soumettant annuellement à un audit sur site et en réalisant trimestriellement un scan de vulnérabilités sur les points d'accès externes (site Web, messagerie, etc.).

Les 12 exigences précises de la norme PCI DSS peuvent être regroupées sous 6 grands chapîtres :

• Mise en place et gestion d'un réseau sécurisé
• Protection des données sensibles
• Élaboration d'un programme de gestion des vulnérabilités
• Mise en œuvre de dispositifs de contrôle d'accès
• Surveillance continue et tests fréquents
• Maintien d'une politique axée sur la sécurité de l’information

Quelles solutions Bee Ware pour vous aider à atteindre la conformité?

L’utilisation d’un firewall applicatif ainsi que la pratique du scan trimestriel sont des exigences clés qui permettent d’assurer la conformité à la norme PCI.

6ème exigence PCI : développer et gérer des applications et systèmes sécurisés
Le point 6.6 était considéré comme une « meilleure pratique » jusqu’au 30 juin 2008, mais est désormais obligatoire.

6.6 Faire en sorte que toutes les applications d’interface Internet soient protégées contre les attaques connues grâce à l’une ou l’autre des méthodes suivantes :

• faire contrôler par une organisation spécialisée dans la sécurité des applications, tout code d'application personnalisé aux fins de détection des vulnérabilités courantes ;
• Installer un pare-feu de couche application qui protège les applications d’interface Internet.

11ème exigence PCI: tester régulièrement les systèmes et procédures de sécurité
Des vulnérabilités sont constamment découvertes par des pirates et chercheurs et sont introduites par de nouveaux logiciels. Les systèmes, procédés et logiciels personnalisés doivent être testés fréquemment pour vérifier que la sécurité est assurée dans la durée, ainsi qu'en liaison avec toutes modifications du logiciel.

11.2 Réaliser des balayages de vulnérabilité de réseau, internes et externes, au moins une fois par trimestre, ainsi qu’après toute modification importante du réseau (telles que l’installation de nouvelles composantes de système, les modifications de la topologie du réseau, les changements des règles du pare-feu, les mises à jour de produit).