La norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) est une liste de normes de conformité contenant des politiques relatives à la protection des données financières et de paiement des consommateurs.
Les organisations doivent se conformer à la norme PCI-DSS lorsqu'elles stockent des informations de paiement provenant de consommateurs, sous peine de devoir payer de lourdes amendes en cas de violation.
Le conseil des normes propose un cadre de sécurité que les organisations doivent suivre pour s'assurer qu'elles respectent les normes.
Qu'est-ce que la certification PCI-DSS ?
Pour savoir si une organisation est vraiment conforme aux réglementations PCI-DSS, elle doit obtenir la certification PCI-DSS - la certification implique de suivre plusieurs bonnes pratiques. Les sociétés de cartes de crédit imposent des normes et se réunissent régulièrement pour examiner les meilleures pratiques et modifier les exigences en fonction de l'évolution du paysage de la cybersécurité.
La norme PCI-DSS définit un cadre que les organisations doivent suivre afin de s'assurer qu'elles sont certifiées. Voici quelques pratiques nécessaires à la certification PCI-DSS :
- Pare-feu installés aux endroits nécessaires du réseau
- Chiffrement des données envoyées vers et depuis les environnements des commerçants
- Installation d'un logiciel antivirus sur tous les appareils de l'entreprise
- Surveillance des demandes d'accès aux ressources du réseau
- Contrôles d'autorisation sur les données des titulaires de cartes
Niveaux de conformité
Tous les commerçants n'ont pas le même volume de ventes et les mêmes ressources de réseau, c'est pourquoi PCI-DSS catégorise les règles de conformité en fonction des niveaux des commerçants.
Les niveaux des commerçants sont déterminés en fonction du volume des transactions par carte de crédit Visa. La conformité à la norme PCI-DSS concerne les commerçants de toute taille, mais le niveau du commerçant détermine la validation de la sécurité nécessaire à la conformité.
Les niveaux de commerçant sont les suivants :
- Niveau 1 : Tout commerçant traitant plus de six millions de transactions Visa par an. Ces entreprises sont généralement de très grandes entreprises mondiales, et Visa peut classer un commerçant dans une catégorie à sa discrétion pour réduire le risque. Un vérificateur Visa évaluera la conformité une fois par an, et les commerçants de niveau 1 doivent soumettre une analyse PCI en utilisant un fournisseur d'analyse approuvé.
- Niveau 2 : Tout marchand traitant entre un million et six millions de transactions Visa par année. Les commerçants du niveau 2 doivent soumettre un questionnaire d'auto-évaluation (SAQ) pour s'assurer qu'ils répondent aux exigences du niveau 2 et effectuer des balayages PCI trimestriels.
- Niveau 3 : Tout commerçant traitant entre 20 000 et un million de transactions de commerce électronique Visa par an. Les commerçants du niveau 3 doivent soumettre un questionnaire d'auto-évaluation (SAQ) pour s'assurer qu'ils répondent aux exigences du niveau 3 et effectuer des analyses PCI trimestrielles.
- Niveau 4 : Tout marchand traitant moins de 20 000 transactions de commerce électronique Visa par an, ou les marchands traitant jusqu'à un million de transactions Visa standard par an. Les commerçants du niveau 4 doivent soumettre un questionnaire d'auto-évaluation (SAQ) pour s'assurer qu'ils répondent aux exigences du niveau 4 et effectuer des analyses PCI trimestrielles.
Exigences PCI-DSS
Bien que la plupart des règlements de conformité exigent de nombreux changements d'infrastructure et d'outils de sécurité, la norme PCI-DSS comporte très peu d'exigences, mais elles sont essentielles.
Toute erreur ou omission dans les exigences peut entraîner de lourdes amendes. Il est donc impératif que les organisations examinent les directives PCI-DSS et appliquent les contrôles appropriés à leur environnement.
Les sociétés de cartes de crédit imposent 12 exigences que les organisations doivent respecter pour rester conformes à la norme PCI-DSS. Les normes visent à protéger les données des titulaires de cartes.
Les exigences tournent donc autour des nombreuses façons dont les menaces enfreignent les défenses du réseau et permettent aux attaquants de voler des informations essentielles. Toute modification des exigences actuelles est annoncée et publiée par le Conseil de sécurité.
Les organisations doivent donc les revoir chaque année pour s'assurer qu'elles répondent en permanence aux exigences de conformité.
Les 12 exigences PCI-DSS sont les suivantes :
- Installer des pare-feu et les configurer pour bloquer le trafic malveillant. La plupart des organisations ont déjà installé un pare-feu entre l'Internet extérieur et l'environnement interne, mais d'autres sont nécessaires dans les grands environnements où le Wi-Fi public est proposé et où les départements doivent être segmentés. Par exemple, les organisations utiliseront un pare-feu pour séparer les départements financiers et leurs données du département des ventes afin de protéger les données des titulaires de cartes.
- Éviter d'utiliser les valeurs par défaut des fournisseurs pour les mots de passe système. Chaque ressource réseau est livrée avec le mot de passe par défaut du fabricant afin que les administrateurs puissent configurer le matériel pour qu'il fonctionne spécifiquement avec l'infrastructure de l'entreprise. Ces mots de passe sont ouvertement distribués au public, ce qui signifie que les attaquants peuvent accéder aux ressources du réseau sans obtenir d'informations d'identification. Après avoir connecté un composant au réseau, la première étape pour un administrateur est de changer le mot de passe par défaut par le sien. Il est préférable d'utiliser des mots de passe difficiles à deviner, mais faciles à retenir.
- Protéger les données financières stockées des consommateurs. Cette exigence peut sembler évidente, mais toutes les organisations ne stockent pas les données des cartes de crédit et ne font pas le nécessaire pour assurer une sécurité de base. Par exemple, les données de carte stockées dans une base de données doivent être chiffrées et personne au sein de l'organisation ne doit y avoir un accès illimité. Toute demande d'accès doit être contrôlée et une piste d'audit doit être créée pour permettre de réagir en cas d'incident.
- Les données financières transférées sur les réseaux publics doivent être chiffrées. Les données qui transitent par l'internet doivent être chiffrées pour éviter toute écoute clandestine. Les utilisateurs soumettent les informations relatives à leur carte de crédit sur un site de commerce électronique, et ces informations doivent être chiffrées. Les commerçants envoient les données relatives aux cartes de crédit à un processeur, et ces données doivent être chiffrées lorsqu'elles sont transmises aux services commerciaux. Certaines organisations portent la sécurité à un autre niveau et chiffrent le trafic au sein du réseau de l'entreprise.
- Installer et maintenir un logiciel antivirus. Tous les serveurs et postes de travail de l'entreprise doivent être équipés d'un logiciel antivirus. Pour aller plus loin, tout appareil mobile qui stocke ou traite des données de cartes de crédit doit également être équipé d'un logiciel antivirus. La sécurité des points de terminaison est un défi plus récent pour les organisations depuis la popularité croissante des smartphones, mais elle devrait être une priorité pour les organisations prenant des paiements sur des appareils mobiles.
- Ajouter des systèmes avec une protection des données en place. Les systèmes changent constamment et les administrateurs en ajouteront de nouveaux à mesure que l'entreprise se développe. Tout système installé dans l'infrastructure de l'entreprise doit être intégré en tenant compte de la sécurité. Toute nouvelle infrastructure doit être installée en intégrant la sécurité, et toute configuration doit être établie en tenant compte de la sécurité des données des cartes de crédit.
- Utiliser les normes du moindre privilège pour l'accès aux données. Les utilisateurs ne doivent avoir accès aux données de cartes de crédit que si cela est nécessaire à l'exercice de leurs fonctions. Les menaces internes risquent d'exposer les données de cartes de crédit. Par conséquent, seuls les employés qui ont besoin d'un accès pour exercer leur fonction doivent y avoir accès. Dans certains cas, une partie du numéro de carte de crédit peut être masquée pour renforcer la sécurité. Par exemple, le personnel du service clientèle peut voir les quatre derniers chiffres d'un numéro de carte de crédit mais pas le numéro complet, tandis que le service de facturation peut voir le numéro complet pour aider les clients à modifier leur numéro de carte dans le dossier.
- Enregistrer les demandes d'accès avec l'identifiant de l'utilisateur qui récupère les données de la carte de crédit. Qu'il s'agisse d'un compte compromis ou d'un initié malveillant, l'enregistrement de chaque demande d'accès avec l'identifiant de l'utilisateur laisse une piste d'audit. Les enquêteurs et les forces de l'ordre utilisent les pistes d'audit pour identifier un acteur malveillant, et elles aident les équipes de réponse aux incidents à identifier l'étendue des dommages et les consommateurs affectés par une violation de données.
- Limiter l'accès physique aux données des cartes de crédit. Les serveurs qui stockent les données des cartes de crédit doivent être dotés de mesures de sécurité physique appropriées. Pour les organisations qui stockent des données de carte de crédit dans le cloud, le fournisseur de cloud doit fournir des politiques conformes aux normes PCI-DSS. La sécurité physique doit également consigner les demandes d'accès à l'infrastructure afin de créer une piste d'audit.
- Consigner et surveiller les demandes d'accès aux ressources réseau stockant des données de cartes de crédit. La surveillance de l'accès aux données est une composante de plusieurs règlements de conformité. Les journaux et la surveillance vont de pair avec la sécurité et la protection des données. Les journaux suivent les événements de demande d'accès et les outils de surveillance utilisent ces événements pour identifier les anomalies qui déclenchent des notifications envoyées aux administrateurs. Les analystes utilisent la surveillance pour réagir rapidement aux incidents en cours afin de les contenir et de limiter les dommages causés par une violation.
- Tester les systèmes et les procédures de sécurité. Il arrive que les systèmes de sécurité tombent en panne ou qu'ils ne fonctionnent pas comme prévu. Il est donc important que les administrateurs testent régulièrement les contrôles de sécurité dans l'ensemble de l'environnement. Certaines organisations organisent des événements de sécurité au cours desquels elles offrent des prix aux employés qui trouvent des ressources vulnérables. En plus des tests annuels, les administrateurs doivent examiner la documentation relative à la conformité PCI-DSS afin d'y déceler tout changement.
- Documenter les politiques de sécurité et les distribuer aux employés. Les employés ne peuvent pas suivre les politiques de sécurité s'ils ne savent pas quelles politiques ils doivent suivre. La norme PCI-DSS exige des employeurs qu'ils documentent les politiques de sécurité afin que les employés puissent faire référence à ce qui doit être fait et identifier les moyens appropriés de traiter les données des clients.
Avantages de la norme PCI-DSS
Il faut beaucoup de travail pour rester conforme, mais le respect des normes PCI-DSS présente de nombreux avantages. La plupart des avantages de la conformité à la norme PCI-DSS ont un impact positif sur vos revenus. Il est donc utile de suivre les directives et de protéger les données des titulaires de cartes en utilisant les exigences de sécurité définies dans les normes PCI-DSS.
Les avantages comprennent :
- Une confiance accrue des clients. Les clients veulent savoir que leurs données sont en sécurité et le fait d'être conforme à la norme PCI-DSS montre que votre organisation comprend ce qui doit être fait pour sécuriser les informations relatives aux cartes de crédit.
- Prévention des violations de données. La cybersécurité doit être une priorité pour toute organisation qui stocke des données sensibles telles que les informations relatives aux cartes de crédit. Chaque norme PCI-DSS aide les organisations à empêcher les cyberattaques qui pourraient avoir un impact sur les revenus.
- Rester en conformité avec les normes mondiales. Le Council for PCI-DSS regroupe des sociétés de cartes de crédit du monde entier qui donnent leur avis sur les dernières tendances en matière de cybersécurité. Certains fournisseurs et prestataires de services marchands peuvent exiger que vous restiez conforme à la norme PCI-DSS pour faire des affaires avec eux.
- Aide à mettre en place des contrôles de sécurité appropriés. Sans une équipe de sécurité dédiée, il est difficile de s'y retrouver parmi les nombreuses options de cybersécurité disponibles. Les cadres PCI-DSS vous guident dans la bonne direction. L'application des normes PCI-DSS donne aux administrateurs des indications sur les contrôles de sécurité nécessaires pour protéger correctement les données des cartes de crédit.
- Lignes directrices pour d'autres normes de conformité. La plupart des organisations doivent respecter plusieurs normes de conformité. L'application des normes PCI-DSS aux contrôles de sécurité permettra à l'entreprise de rester conforme aux autres normes. Par exemple, les cadres PCI-DSS aideront à la conformité HIPAA et RGPD.
Non-conformité à la norme PCI-DSS
La non-conformité à la norme PCI-DSS a de graves conséquences. Après une violation de données, une organisation pourrait payer des millions de dollars en frais de violation et en frais de contentieux liés à des recours collectifs. Les cinq principales conséquences sont :
- Amendes mensuelles : Les environnements non conformes mettent en danger les données des cartes de crédit des consommateurs, c'est pourquoi la norme PCI-DSS impose des frais mensuels élevés en cas de violation. Les pénalités dépendent du niveau du commerçant, mais les amendes vont de 5 000 à 100 000 dollars par mois.
- Compromission du système et violation des données : Une mauvaise sécurité crée des vulnérabilités qui conduisent à des violations de données. Les violations de données coûtent des millions de dollars en réponse aux incidents, en enquêtes, en perte de confiance des clients et en litiges.
- Litiges : Les violations de données graves entraînent un stress financier pour les consommateurs et les recours collectifs leur permettent d'obtenir réparation. Les organisations doivent payer les conseils juridiques et tout règlement après une violation de données.
- Atteinte à la réputation de la marque : Si une organisation est connue pour sa mauvaise sécurité, les clients iront chez un concurrent. L'atteinte à la réputation de la marque affecte la fidélité et la confiance des clients.
- Perte de revenus : Lorsque les clients choisissent des concurrents en raison de l'atteinte à la marque, l'organisation perd des revenus, y compris les coûts liés aux litiges.
Meilleures pratiques pour la conformité PCI-DSS
La plupart des meilleures pratiques PCI-DSS suivent les exigences, mais les organisations peuvent mettre en place des politiques supplémentaires pour améliorer la sécurité.
Voici quelques pratiques supplémentaires que les organisations devraient envisager :
- Maintenir les logiciels à jour : les développeurs publient des mises à jour qui corrigent les failles de sécurité de leurs logiciels, donc il faut toujours maintenir les applications à jour pour éviter de laisser l'infrastructure vulnérable.
- Tokeniser les données des cartes de crédit : La tokenisation est similaire au chiffrement. Elle remplace les données sensibles par des données non sensibles tout en conservant certains éléments des données d'origine pour poursuivre les opérations commerciales.
- Donner à chaque utilisateur et à chaque ressource un identifiant unique : Les administrateurs donnent aux utilisateurs des noms d'identification uniques, mais tout composant qui accède aux données devrait également avoir un identifiant unique pour suivre les demandes.
- Protéger les mots de passe : Demandez à tous les utilisateurs de stocker leurs mots de passe en toute sécurité. Les coffres-forts pour mots de passe sont recommandés pour éviter les mauvaises pratiques de stockage.
- Tester la pénétration des logiciels et des configurations réseau : Un pirate blanc utilisera des méthodes courantes dans les cercles de piratage pour tester les vulnérabilités de vos logiciels afin que l'organisation puisse identifier les problèmes actuels et y remédier.
Comment Proofpoint peut vous aider
Proofpoint propose plusieurs services et produits qui aident les organisations à rester conformes à la norme PCI-DSS.
Grâce à ces outils, vous pouvez facilement vous conformer aux règles de protection des informations et des données dans toute une série de secteurs, telles que PCI, HIPAA et GDPR. Vous pouvez également protéger vos documents complexes critiques pour l'entreprise, tels que la propriété intellectuelle, les documents juridiques et les accords de fusion et d'acquisition.
Nos outils et ressources de protection des informations appliquent des solutions de sécurité aux données des consommateurs pour les protéger des menaces.
La conformité est importante pour la continuité des activités, mais la conformité ne signifie pas toujours que votre organisation est totalement sécurisée. Les organisations sont généralement tenues de respecter plusieurs réglementations, et Proofpoint peut vous aider à trouver le juste milieu entre conformité et sécurité.