| Gouvernance, Risques et conformité.
PCI DSS : tout ce qu’il faut savoir sur la norme de sécurité des paiements !
L’avènement du e-commerce et le récent essor des Marketplace s’est accompagné d’un risque croissant de violation des données bancaires. Pour faire face à cette menace et afin d’améliorer la sécurité des données des consommateurs et la confiance dans l’écosystème de paiements, cinq sociétés de cartes de paiement (American Express, Discover, JBC, Mastercard et Visa) ont créé en 2006 le Conseil de sécurité des cartes de paiement : le PCI SSC.
Cette démarche a permis d’homogénéiser les différents programmes normatifs de sécurité alors en vigueur, pour créer une norme commune : le PCI DSS.
PCI DSS, qu’est-ce que c’est ?
PCI DSS pour Payment Card Industry Data Security Standard est la norme qui désigne l’ensemble des exigences de sécurité des données applicables à l’industrie des cartes de paiement. C’est une norme mondiale qui n’est cependant pas obligatoire au regard de la loi aux Etats-Unis ni en France ; mais étant donné qu’il est imposé contractuellement par les principaux acteurs du marché, il est vivement conseillé de s’y conformer.
La certification à cette norme est depuis devenue une référence en matière de protection des données des consommateurs. Du moment où un site implique la manipulation de cartes bancaires, il est crucial que la solution de paiement soit certifiée PCI DSS. La conformité au PCI DSS est validée par un évaluateur de sécurité homologué, un évaluateur de la sécurité en interne, ou par le biais d’un questionnaire d’auto-évaluation pour les entreprises qui traitent de plus petits volumes de données de cartes bancaires.
La PCI DSS, quelle importance ?
Les études ont montré que les violations de données frappent plus régulièrement les petites entreprises qui sont moins bien loties sur le plan de la sécurité. Au Royaume-Uni par exemple, une enquête réalisée en 2015 sur les violations de la sécurité des informations indiquait que 74 % des petites structures avaient été concernées par une faille de sécurité l’année précédente.
Cependant, l’impact d’une cyberattaque est aussi fort pour aussi bien pour une entreprise peu importe sa taille, que pour ses clients, car les conséquences peuvent se traduire par une perte de revenus, de clients, de confiance, et d’un préjudice pour l’image de l’entreprise. La réglementation applicable aux données des titulaires de cartes diffère d’un état à l’autre mais la non-conformité se traduit le plus souvent par de lourdes amendes pour l’entreprise concernée.
Partant de ce constat, il est donc important que toute entreprise qui traite les données de titulaires de cartes de paiement assure la sécurité des données de ses clients et c’est aussi à l’entreprise qu’il appartient de faire le nécessaire pour maintenir ces données en sécurité.
La norme PCI DSS vise à réduire la fraude en ligne. En se conformant alors à la norme PCI DSS, l’entreprise met en avant le fait qu’elle a pris et mis en œuvre les mesures appropriées pour protéger les données des titulaires de cartes de paiement contre le vol sur Internet et toute utilisation frauduleuse.
Besoin de conseils pour sécuriser votre entreprise ?
Que faire pour être en conformité avec la PCI DSS ?
La documentation officielle, publiée par le Conseil PCI SSC, comporte quelques 1800 pages qui pourraient se résumer en trois grandes règles autour desquelles s’articule la conformité à la norme PCI DSS :
- Collecter et transmettre en toute sécurité les données relatives aux cartes bancaires des utilisateurs (nom du porteur, numéro de carte, date d’expiration, code de sécurité CVV)
- Sauvegarder l’ensemble des données de façon sécurisée, notamment grâce aux technologies de chiffrement
- Pouvoir garantir que les centaines de contrôles de sécurité décrits dans le PCI DSS sont bien effectués chaque année.
- Installer et gérer une configuration avec pare-feu pour protéger les données des titulaires de cartes. Les pares-feux contrôlent la transmission de données entre le réseau interne d’une entreprise et les réseaux externes non approuvés, ainsi que le trafic dans des zones plus sensibles du réseau interne approuvé. L’exigence une PCI DSS requière de la part des systèmes qu’ils utilisent des pares-feux afin d’empêcher des accès non-autorisés. Lorsque d’autres éléments du système fournissent la fonctionnalité de pare-feu, ils doivent également être compris dans le champ d’application et l’évaluation de cette condition.
- Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres paramètres de sécurité. Les paramètres de sécurité par défaut de nombreux systèmes très utilisés sont connus, facilement exploitables et souvent utilisés par les communautés de pirates afin de compromettre ces systèmes. Les paramètres par défaut définis par les fournisseurs doivent donc être changés et les comptes par défaut non utilisés désactivés ou supprimés avant que le système ne soit installé sur un réseau. Cela concerne également tous les mots de passe par défaut, sans exception. Si les pares-feux sont mis en place correctement, selon l’exigence 1, ils doivent également être conformes à l’exigence 2.
- Protéger les données des titulaires de cartes Formaliser et mettre en œuvre des procédures et processus qui régissent la conservation et la suppression des données pour disposer de données toujours à jour et exactes. Certaines données ne doivent jamais être stockées, comme le contenu de la bande magnétique, le numéro de vérification d’une carte ou le numéro d’identification personnel. Les données des titulaires de carte doivent être chiffrées avant d’être stockées.
- Chiffrer la transmission des données des titulaires de cartes sur les réseaux publics ouverts Il s’agit notamment de la transmission des données par Internet et à l’aide des technologies sans fil comme le Bluetooth, les communications GPRS et satellite.
- Utiliser et mettre régulièrement à jour un logiciel ou des programmes antivirus Protéger les systèmes contre les malwares ; installer, maintenir régulièrement et assurer le bon fonctionnement des antivirus pour lutter contre les virus, les vers et les chevaux de Troie.
- Développer et maintenir des systèmes et des applications sécurisées Vérifier en permanence que les logiciels sont à jour pour être à l’abri des dernières vulnérabilités.
- Restreindre l’accès aux données des titulaires aux seules personnes concernées Mettre en place des systèmes et des processus pour LES PERSONNES autorisées à accéder à ces données en précisant les RAISONS pour lesquelles elles doivent pouvoir y accéder. L’accès doit être réservé aux personnes qui en ont besoin pour exercer leurs fonctions.
- Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur Cette exigence permet de savoir à tout moment qui accède à quoi. Ainsi l’organisme s’assure que seules les personnes dûment autorisées ont accès à certains systèmes et composants spécifiques. L’authentification à deux facteurs comme les cartes à puce, les clés USB cryptographiques ou la biométrie permet de renforcer la sécurité et de s’assurer du respect des autorisations.
- Restreindre l’accès physique aux données Une faille dans la sécurité physique peut également être à l’origine d’une perte de données. Le nécessaire devra être fait pour restreindre et surveiller l’accès aux dossiers physiques. L’accès aux salles serveur et centres de données devra être réglementé, les supports devront être détruits et les équipements sur lesquels se trouvent les données devront être protégés contre toute altération et surveillés.
- Tracer et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes Mettre en place des pistes d’audit sécurisées et contrôlées pour permettre la journalisation des actions de chaque utilisateur (accès aux données, privilèges, tentatives de connexion non valides et modifications apportées aux mécanismes d’authentification comme la suppression d’objets). Ces journaux devront être examinés régulièrement.
- Tester régulièrement les systèmes et processus de sécurité Les tests d’intrusion sont une composante clé de l’arsenal des équipes de sécurité informatique. Ils devront être menés chaque année et après toute modification importante sur le réseau. Les analyses de vulnérabilités et la maintenance de la topologie du réseau et des pare-feu devront également faire partie des tests d’intrusion.
- Maintenir une politique de sécurité abordant la sécurité des informations pour les employés et les prestataires Cette politique devra être révisée deux fois par an et mise à jour en fonction de tout nouvel environnement à risque. Une évaluation des risques permettra d’identifier les éventuelles menaces ou vulnérabilités en vue de la mise en place d’une politique et d’un plan d’intervention sur incident. Une fois ces démarches effectuées, un programme de sensibilisation devra être instauré et maintenu pour communiquer régulièrement avec le personnel afin de le tenir informé de tout nouveau protocole de sécurité.
Quelles sont les implications pour votre entreprise ?
Les exigences de conformité PCI DSS correspondent globalement aux bonnes pratiques dans le domaine de la cybersécurité. Le Règlement Général sur la Protection des Données (RGPD) de l’UE, entré en vigueur en mai 2018, reprend en grande partie les recommandations pour la mise en conformité PCI DSS.
Les entreprises qui souhaitent se mettre en conformité avec la norme PCI DSS devraient en premier comprendre la manière dont les données sont récupérées, stockées et organisées.
Pour gérer en toute sécurité le traitement des données et éviter de dépenser d’importantes ressources financières et matérielles, de nombreuses entreprises utilisent une solution d’hébergement chez un tiers : prestataire de services de paiement (PSP).
Ce partenaire de confiance prend en charge tous les aspects relatifs à la sécurité des transactions, afin que l’entreprise n’ait plus qu’une poignée de contrôles simples à mettre en œuvre, tels que l’utilisation de mots de passe forts.
En résumé, pour être en règle :
- Protégez votre réseau et votre infrastructure, et ce quelle que soit la taille de votre entreprise, sans oublier de mettre à l’abri les ressources les plus précieuses pour votre entreprise, à savoir vos données.
- Renforcez les contrôles d’accès, chiffrez les communications et les transmissions de données, et garantissez l’intégrité des données transmises.