Exigences de la norme de sécurité des données PCI
Protégez votre entreprise et les données de vos clients
Les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) détaillent les exigences de sécurité que les entreprises doivent respecter pour protéger les données des titulaires de cartes. Les directives de sécurité PCI DSS sont imposées par les principales associations de cartes de crédit (Visa, Mastercard, American Express, Discover et JCB) afin de garantir la sécurité du traitement des données des cartes de crédit et de réduire les fraudes et les violations de la sécurité des cartes de crédit.
Tous les commerçants qui acceptent des paiements doivent remplir le formulaire de conformité PCI et valider cette conformité au moins une fois par an. Le non-respect des normes PCI peut avoir des conséquences importantes, notamment des amendes, une perte d'activité et des audits continus pour prouver la conformité.
Les 12 exigences de la norme PCI DSS
La conformité à la norme PCI repose sur douze exigences globales. Le présent guide est un résumé de chaque exigence ; toutefois, des détails supplémentaires et des précisions sur chacune des exigences PCI peuvent être trouvés sur le site web de l'ICP. Site web du PCI.
Nous avons également dressé une liste de questions fréquemment posées pour répondre aux préoccupations et aux idées fausses les plus courantes en matière de PCI. Si vous avez besoin d'aide tout au long du processus de mise en conformité, veuillez appeler notre Les spécialistes PCI au 718-782- 2823 x110.
1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes.
Il n'est plus nécessaire d'avoir une carte physique pour voler les données des cartes des clients. Les criminels utilisent la technologie pour pénétrer dans votre réseau et voler des données numériques sensibles. En utilisant un pare-feu, vous établissez une barrière entre un réseau de confiance, comme celui de votre entreprise, et un réseau non fiable, comme l'internet. Cette barrière virtuelle entoure votre réseau et surveille le trafic entrant et sortant sur la base de règles de sécurité prédéterminées. Tout appareil qui accède au réseau de votre entreprise doit être équipé d'un logiciel de pare-feu, y compris les ordinateurs et les appareils mobiles des employés.
Les organisations devraient établir des normes pour les pare-feu et les routeurs, ce qui permet de tester ces équipements de manière standardisée à chaque fois que des changements sont apportés au matériel ou aux logiciels. Les règles de configuration doivent être révisées deux fois par an et doivent restreindre tout trafic non fiable, sauf dans les cas où le protocole de communication est nécessaire pour traiter les données des titulaires de cartes.
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et les autres paramètres de sécurité.
Le matériel et les logiciels de réseau, tels que les routeurs et les pare-feu, sont souvent préréglés avec des noms d'utilisateur et des mots de passe standard, tels que "admin" ou "password". Ne facilitez pas la tâche des criminels en négligeant de modifier ces mots de passe ! Il s'agit souvent de la première tactique utilisée par les cyberattaquants pour contourner votre sécurité et accéder à votre réseau.
Il est impératif de changer les mots de passe de tous les matériels et logiciels que vous installez et utilisez sur votre réseau - et de les mettre à jour régulièrement. Les mots de passe doivent être complexes et composés d'une chaîne de caractères aléatoires, comprenant de préférence un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
3. Protéger les données stockées des titulaires de cartes.
Les données relatives au titulaire de la carte sont celles qui figurent au recto de la carte, notamment le numéro de compte principal, le nom du titulaire de la carte et la date d'expiration. Ces données diffèrent des données d'authentification sensibles, telles que le code CVV, les données de suivi contenues dans la bande magnétique, le code PIN/blocage PIN et les données de la puce EMV. Les données d'authentification sensibles ne peuvent pas être stockées après l'authentification.
Toutes les données relatives aux titulaires de cartes que vous stockez sont limitées à ce qui est exigé par la loi, les normes réglementaires ou les besoins de l'entreprise. Cette exigence fixe également des règles qui limitent le nombre de chiffres du numéro de compte principal qui peuvent être affichés, par exemple en ne révélant que les six premiers et les quatre derniers chiffres.
Si vous devez stocker des données relatives aux titulaires de cartes, les organisations ne doivent conserver que le strict minimum requis. Vous devez connaître la durée de conservation et l'emplacement de toutes les données que vous envisagez de stocker et procéder à une purge au moins une fois par trimestre.
Toutes les données relatives aux titulaires de cartes doivent être cryptées ou codées à l'aide de normes acceptées par l'industrie. Pour le traitement en ligne, Sola propose et préfère sa technologie de tokenisation. La tokenisation consiste à remplacer les données de paiement sensibles par une chaîne non sensible générée par un algorithme et appelée token. Chaque fois qu'un numéro de carte ou de compte bancaire est envoyé avec une transaction, la réponse de Sola inclura un jeton. Sola référencera alors les informations de paiement sur nos serveurs associées à ce jeton et traitera la transaction. Chaque fois qu'une transaction est traitée, un nouveau jeton est renvoyé. Étant donné que les données symbolisées sont stockées sur le serveur de Sola plutôt que sur celui du commerçant, ce dernier est exposé à moins de risques.
Pour sécuriser les données des titulaires de cartes lors des transactions effectuées sur les terminaux de paiement, il est important d'utiliser ceux qui disposent d'un cryptage point à point validé par le PCI.
Dans certains cas, les fournisseurs de services ou les commerçants ne se rendent pas compte qu'ils stockent des données relatives aux titulaires de cartes. Les fichiers journaux, les bases de données et les feuilles de calcul sont des endroits où l'on trouve couramment des données relatives aux titulaires de cartes. Vous devez vérifier régulièrement ces emplacements pour vous assurer que vous ne stockez pas par inadvertance des données relatives aux titulaires de cartes.
4. Crypter la transmission des données relatives aux titulaires de cartes sur les réseaux publics ouverts.
Même si vous ne stockez pas les données des titulaires de cartes, il est possible pour les voleurs d'intercepter ces données au cours du processus de transmission. C'est pourquoi la norme PCI DSS exige des commerçants qu'ils cryptent les données à l'aide d'un protocole de cryptage standard avant de les transmettre sur un réseau ouvert et public, tel qu'Internet, les réseaux locaux sans fil, Bluetooth et les réseaux mobiles. Le cryptage rend les données transmises illisibles, même si elles sont interceptées.
5. Utiliser et mettre à jour régulièrement les logiciels ou programmes antivirus.
La norme PCI DSS exige des commerçants qu'ils surveillent de manière proactive les vulnérabilités de leur réseau à l'aide de logiciels antimalware et antivirus sur tous les appareils, et pas seulement sur le matériel principal du réseau. Ces appareils peuvent être des ordinateurs portables, des serveurs, des appareils mobiles, des postes de travail ou tout autre appareil que les employés peuvent utiliser pour accéder au réseau localement ou à distance. Assurez-vous que les mécanismes antivirus sont toujours actifs, qu'ils utilisent les signatures les plus récentes et qu'ils génèrent des journaux vérifiables.
6. Développer et maintenir des systèmes et des applications sécurisés.
Les organisations qui acceptent des paiements doivent élaborer un processus clair pour identifier les failles de sécurité, puis classer ces failles en fonction du niveau de risque. Bon nombre de ces vulnérabilités sont éliminées par l'installation de correctifs de sécurité fournis par le vendeur, qui effectuent une réparation rapide d'un élément spécifique du code de programmation. Tous les systèmes critiques doivent être dotés des correctifs logiciels les plus récents afin d'éviter toute exploitation. Les organisations devraient appliquer les correctifs aux systèmes moins critiques dès que possible, sur la base d'un programme de gestion des vulnérabilités fondé sur les risques. Dans le cas d'un fournisseur de logiciels indépendant (ISV), cela signifie qu'il faut s'assurer que tous les commerçants qui utilisent votre logiciel sont au courant des correctifs qu'ils peuvent avoir besoin de déployer.
Tout code créé par un ISV ou un développeur doit adhérer à PCI DSS, et tout code nouveau ou mis à jour doit être examiné pour toutes les vulnérabilités connues et également évalué pour les faiblesses inconnues. L'équipe du service clientèle de Sola est heureuse de vous aider dans ce processus.
Il est nécessaire de patcher tous les systèmes dans l'environnement des données de la carte, y compris :
7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître.
On parle de besoin d'en connaître lorsque les droits d'accès ne sont accordés qu'au minimum de données et de privilèges nécessaires à l'accomplissement d'une tâche. La norme PCI DSS exige que les commerçants mettent en place un contrôle d'accès basé sur les rôles et un contrôle d'accès basé sur les situations en ce qui concerne les données des cartes. En d'autres termes, l'accès aux données des cartes est autorisé ou refusé aux utilisateurs en fonction de leur rôle et des circonstances ou de la raison de l'accès aux données.
Il est évident qu'un utilisateur non autorisé, tel qu'un criminel, se verrait refuser l'accès aux données de la carte. Toutefois, dans certains cas, un utilisateur autorisé peut demander l'accès aux données de la carte, mais la situation peut justifier le refus de la demande car elle n'est pas nécessaire à l'accomplissement de la tâche à accomplir. Cette demande serait non autorisée et donc refusée.
Les commerçants et les prestataires de services doivent tenir une liste documentée de tous les utilisateurs qui doivent accéder à l'environnement des données relatives aux cartes, ainsi que de leurs rôles respectifs. En outre, cette liste doit contenir la définition du rôle, le niveau de privilège actuel, le niveau de privilège attendu et les ressources de données permettant à chaque utilisateur d'effectuer des opérations sur les données de la carte. Pour votre commodité, le portail Sola Merchant a la capacité de définir des rôles d'utilisateur avec des permissions variables.
8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur.
Les noms d'utilisateur partagés ou les mots de passe faciles à deviner exposent votre entreprise à des vulnérabilités. Chaque utilisateur ayant accès à l'environnement des données des titulaires de cartes doit avoir un identifiant unique. Cela permet à l'entreprise de relier chaque action à une personne spécifique. Chaque utilisateur doit également disposer d'un mot de passe fort pour l'authentification.
L'accès à distance à votre réseau nécessite une authentification multifactorielle combinant deux des méthodes d'authentification suivantes : biométrie, mots de passe ou jeton. Là encore, il convient d'utiliser des méthodes d'authentification fortes et de rendre tous les mots de passe/phrases de passe illisibles lors de la transmission et du stockage à l'aide d'une cryptographie forte.
9. Restreindre l'accès physique aux données des titulaires de cartes.
Tout accès physique aux données ou aux systèmes contenant des données relatives aux titulaires de cartes doit être limité de manière appropriée à l'aide de clés, de badges, de données biométriques ou d'autres systèmes de contrôle d'accès. Toute personne ayant un accès régulier ou à court terme aux salles de serveurs ou à d'autres zones où les données des titulaires de cartes peuvent être consultées doit d'abord être autorisée. Il s'agit notamment des employés (à temps plein ou à temps partiel), des sous-traitants, des consultants, des fournisseurs et des invités.
L'accès doit non seulement être limité, mais aussi contrôlé et enregistré. Les règles de sécurité doivent être appliquées par un personnel de sécurité spécialisé, et des systèmes doivent être mis en place pour identifier rapidement toute personne étrangère à l'entreprise.
Les supports tels que les séquences vidéo ou les registres d'accès doivent être stockés dans un endroit sécurisé, hors site, et n'être conservés qu'en cas de besoin. Détruire tout support qui n'est plus nécessaire pour des raisons professionnelles ou juridiques.
10. Suivre et contrôler tous les accès aux ressources du réseau et aux données des titulaires de cartes.
Les vulnérabilités des dispositifs et systèmes de réseaux physiques et sans fil offrent aux criminels la possibilité d'obtenir un accès non autorisé aux applications de cartes de paiement et aux données des titulaires de cartes. Pour empêcher l'exploitation, les organisations doivent régulièrement surveiller et tester les réseaux afin de trouver et de corriger les vulnérabilités.
Cela nécessite une surveillance et un enregistrement en temps réel de toutes les activités des utilisateurs sur le réseau. La présence de journaux dans tous les environnements permet un suivi et une analyse approfondis et peut alerter les organisations en cas d'activité suspecte. Il est très difficile de déterminer la cause d'une compromission sans les journaux d'activité du système.
Les pistes d'audit doivent être mises en œuvre pour relier des utilisateurs spécifiques à leur activité sur le réseau en utilisant la synchronisation temporelle. La norme PCI DSS exige également que les enregistrements de la piste d'audit répondent à une certaine norme en termes d'informations contenues. Les données d'audit doivent être sécurisées et conservées pendant une période d'au moins un an.
11. Tester régulièrement les systèmes et les processus de sécurité.
Des vulnérabilités sont continuellement découvertes par des individus malveillants. Pour suivre le rythme des activités frauduleuses, les organisations doivent tester fréquemment les composants des systèmes, les processus et les logiciels personnalisés afin de garantir le maintien de la sécurité au fil du temps. Le test des contrôles de sécurité est également particulièrement important pour tout changement d'environnement tel que le déploiement d'un nouveau logiciel ou d'un nouveau code, ou la modification de la configuration d'un système.
Cette exigence précise également que les organisations doivent identifier et documenter tous les points d'accès sans fil autorisés et non autorisés sur une base trimestrielle. Les analyses de vulnérabilité des réseaux internes et externes doivent être effectuées au moins une fois par trimestre ou après toute modification importante du réseau. Les tests de pénétration ainsi que l'utilisation de systèmes de détection et de prévention des intrusions sont d'autres exigences permanentes.
Les modifications apportées aux fichiers doivent également être contrôlées à l'aide d'une solution de détection des modifications. Cette solution alerte le personnel en cas de modification non autorisée (changements, ajouts et suppressions) de fichiers système, de fichiers de configuration ou de fichiers de contenu critiques. Les comparaisons de fichiers critiques doivent être effectuées au moins une fois par semaine et un processus de réponse à toute modification de fichier doit être mis en place.
12. Maintenir une politique de sécurité de l'information pour l'ensemble du personnel.
Une politique de sécurité solide donne le ton en matière de sécurité pour l'ensemble de l'entreprise et informe les employés des tâches qui leur incombent en la matière. Tous les employés doivent être conscients de la sensibilité des données des titulaires de cartes et de leurs responsabilités en matière de protection. La politique de sécurité doit être revue et mise à jour chaque année, en plus d'une évaluation formelle annuelle des risques.
Cette exigence précise en outre qu'une équipe ou une personne doit être désignée pour assumer ces responsabilités et élaborer un programme de sensibilisation à la sécurité de l'information à l'intention de tous les employés. Cette personne est également chargée de sélectionner les employés potentiels afin de minimiser le risque de violation des données internes. Enfin, la personne ou l'équipe désignée doit mettre en œuvre un plan d'intervention en cas d'incident afin que l'organisation soit prête à réagir immédiatement en cas de violation.
Un soutien quand vous en avez besoin
La conformité PCI peut être un processus détaillé et difficile, mais c'est une étape nécessaire pour protéger votre entreprise et les données de vos clients. Si vous avez besoin d'aide tout au long du processus de mise en conformité, appelez notre service d'assistance technique. Les spécialistes PCI au 718-782- 2823 x110.