Qu'est-ce que

PCI DSS

?

Qui doit se conformer à la norme PCI DSS ?

L'objectif de la norme de sécurité des données PCI (PCI DSS) est de protéger les données des titulaires de cartes (CHD) et les données d'authentification sensibles (SAD) partout où elles sont traitées, stockées ou transmises. Le maintien de la sécurité des paiements est requis pour toutes les organisations qui stockent, traitent ou transmettent les données des titulaires de cartes.

Les normes de sécurité PCI incluent des exigences techniques et opérationnelles pour :

  • Organisations acceptant ou traitant des transactions de paiement
  • Développeurs de logiciels et fabricants d'applications et d'appareils utilisés dans le cadre de ces transactions

La norme PCI 3.2.1, publiée en mai 2018, est la version actuelle à laquelle les organisations concernées doivent adhérer.

La validation de la conformité est effectuée chaque année ou chaque trimestre, selon une méthode adaptée à la désignation du niveau de commerçant de l'organisation, qui est fonction du volume annuel de transactions par carte de crédit traitées.

Résumé des niveaux de commerçants PCI et des exigences en matière d'audit et de reporting

Le tableau ci-dessous donne un aperçu des niveaux PCI pour les commerçants, des architectures de paiement courantes généralement utilisées à chaque niveau et des exigences d'audit et de reporting PCI correspondantes. Remarque : Il existe de légères différences entre les niveaux de référence des commerçants selon les sociétés émettrices de cartes de crédit. Les lecteurs sont donc invités à consulter leurs partenaires de conseil en matière de PCI et de QSA pour obtenir une évaluation précise des exigences qui s'appliquent à leur organisation.

Merchant Level Volume of Credit Card Transactions Per Year Common Payment Architecture PCI Audit and Reporting Requirements
LEVEL 1 More than 6 million total transactions across all global regions
  • Ecommerce
  • Card not present
  • Card-present
  • Annual Report on Compliance (ROC) through a Qualified Security Assessor (QSA)
  • Quarterly network scans by an Approved Scanning Vendor (ASV)
  • Attestation of Compliance Form
LEVEL 2

1 million to 6 million across all global regions

  • Ecommerce
  • Card not present
  • Card-present
  • Annual Self-Assessment Questionnaire (SAQ) (internal audit)
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form
LEVEL 3 20,000 to 1 million across global regions
  • Ecommerce only
  • Annual SAQ
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form
LEVEL 4

Less than 20,000

OR

1 million through all channels BUT

Less than 20,000 card transactions

  • Ecommerce only

 

  • Card present
  • Ecommerce
  • Annual SAQ
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form

12 Exigences relatives à la norme PCI DSS

La norme PCI DSS 3.2.1 comprend 6 objectifs, 12 exigences, 78 exigences de base et plus de 400 procédures de test. Le tableau ci-dessous résume les objectifs de la norme PCI DSS et les exigences associées. Pour plus de détails sur les sous-exigences et les tests, les lecteurs sont invités à consulter le Guide de référence PCI DSS.

PCI DSS OBJECTIVES Requirements
BUILD AND MAINTAIN A SECURE NETWORK AND SYSTEMS

1.  Install and maintain a firewall configuration to protect cardholder data

2.  Do not use vendor-supplied defaults for system passwords and other security parameters

PROTECT CARDHOLDER DATA

3.  Protect stored cardholder data

4.  Encryption transmission of cardholder data across open, public networks

MAINTAIN A VULNERABILITY MANAGEMENT PROGRAM

5.  Protect all systems against malware and regularly update anti-virus software or programs

6.  Develop and maintain secure systems and applications

IMPLEMENT STRONG ACCESS CONTROL MEASURES

7.  Restrict access to cardholder data by business need to know

8.  Identify and authenticate access to system components

9.  Restrict physical access to cardholder data

REGULARLY MONITOR AND TEST NETWORKS

10.  Track and monitor all access to network resources and cardholder data

11.  Regularly test security systems and processes

MAINTAIN AN INFORMATION SECURITY POLICY 12.  Maintain a policy that addresses information security for all personnel

Risques potentiels liés à la non-conformité à la norme PCI

La norme PCI DSS existe depuis plus de 12 ans, mais de nombreuses organisations continuent de faire face à des résultats négatifs critiques lors des audits. Une poignée d'organisations continuent également de signaler avoir été victimes d'une violation de données, même après avoir récemment passé un audit PCI. L'essentiel à retenir est que la conformité ne signifie pas nécessairement que les données et les applications sont sécurisées. La conformité doit être considérée comme la base de référence ; et les organisations doivent également se concentrer sur l'identification et l'atténuation des vecteurs de menace qui ne sont pas nécessairement couverts par ses mandats de conformité.

Ce sont les plus courants Conformité à la norme PCI défis :

  1. Nécessité de gérer la portée et de contrôler le coût des audits PCI. Le Conseil de sécurité du PCI a publié un guide pour le cadrage et la segmentation du réseau. Le document propose un cadre pour aider les organisations concernées à identifier les composants CDE (environnement de données des titulaires de carte), les systèmes connectés au PCI et ayant un impact sur la sécurité PCI, ainsi que les composants hors du champ d'application. Malheureusement, la mise en œuvre du cadre de délimitation et de segmentation constitue un défi pour de nombreuses organisations en raison de la nature de plus en plus dynamique et complexe des environnements de centres de données et des architectures de paiement. Le recours à des données statiques ponctuelles et à des cartes de flux réseau pour remplir et gérer l'inventaire des composants PCI, combiné à des pratiques de gestion des modifications informatiques et des modifications de pare-feu incohérentes, entraîne des erreurs de délimitation et de segmentation, qui à leur tour entraînent des échecs d'évaluation PCI et une augmentation des coûts d'audit.
  2. Incapacité à maintenir en permanence sa conformité en matière de sécurité PCI et sa posture de segmentation. Les normes de sécurité PCI obligent les entreprises à maintenir en permanence leur posture de segmentation PCI et à s'assurer qu'elle est toujours conforme aux exigences PCI et aux exigences de base. Les architectures dynamiques et complexes des centres de données et des paiements, combinées à des désalignements entre les processus de sécurité et les opérations informatiques, entraînent des lacunes en matière de sécurité et de contrôle. En raison des pratiques informatiques, les composants PCI finissent souvent par se mélanger à des composants non PCI au sein d'une même zone, d'un VLAN ou d'un sous-réseau, sans contrôles supplémentaires pour restreindre le trafic vers le CDE. Dans certains cas, la déconnexion entre les processus de gestion des modifications informatiques, de provisionnement des ressources et de gestion des modifications de pare-feu entraîne un inventaire incorrect des systèmes connectés PCI concernés et une mauvaise configuration des règles de pare-feu. De mauvais processus de gestion des vulnérabilités et de gestion des correctifs empêchent également une entreprise de maintenir en permanence sa position de sécurité PCI. Rapport sur la sécurité des paiements de Verizon fournit un examen détaillé des tendances en matière de sécurité des paiements et des défis de sécurité critiques auxquels les organisations continuent de faire face. Verizon publie ce rapport chaque année depuis 2010. Dans le rapport de 2020, les auteurs concluent que les exigences PCI suivantes présentent les pires lacunes en matière de contrôle :
  3. Requise 11. Tester les systèmes et les processus de sécurité
  4. Requise 5. Protégez-vous contre les logiciels malveillants
  5. Requise 10. Suivez et contrôlez l'accès
  6. Requise 12. Gestion de la sécurité
  7. Requise 8. Authentifier l'accès
  8. Requise 1. Installation et maintenance d'une configuration de pare-feu
  9. Disposer de réseaux plats. Étonnamment, de nombreuses organisations continuent aujourd'hui à disposer de réseaux plats, car ceux-ci sont simples à concevoir et faciles à exploiter et à entretenir. Cependant, un réseau plat signifie que tous les éléments de l'environnement (y compris les composants non connectés à la norme PCI et non CDE) sont conformes à la norme PCI, ce qui entraîne des coûts d'audit PCI plus élevés. Un réseau plat signifie également que si un acteur malveillant parvient à compromettre un seul hôte, il peut facilement traverser le réseau et accéder aux applications de paiement et à la base de données des titulaires de cartes.
  10. Nécessité de sécuriser la transition vers le modèle d'exploitation du travail à distance. Au fur et à mesure que les entreprises passent à un modèle de travail entièrement à distance, elles doivent évaluer l'impact de ces changements sur l'étendue de leur environnement PCI et les contrôles supplémentaires à mettre en œuvre pour contrôler le trafic légitime vers le CDE. Les exemples incluent la sécurisation de l'accès à distance légitime des administrateurs autorisés aux applications de paiement depuis les ordinateurs portables des employés, la sécurisation du support client et de la facturation à distance, et la sécurisation sur site, sans contact, des connexions autorisées entre les bornes sans contact connectées à Internet et les applications du centre de données.

Quels sont les défis courants de mise en œuvre de la norme de sécurité des données PCI ?

La visibilité en temps réel des charges de travail, des utilisateurs, des appareils, de leurs connexions et de leurs flux est importante pour :

  • S'assurer que l'étendue de l'environnement PCI est à jour et précise, ce qui signifie que les règles de segmentation et de pare-feu sont correctement appliquées.
  • Fournir des informations précieuses aux analyses de vulnérabilité internes trimestrielles obligatoires et utiliser ces informations pour cartographier les voies d'attaque latérales potentielles associées aux vulnérabilités.
  • Surveillance continue de l'environnement PCI pour détecter toute modification des charges de travail, des appareils, des utilisateurs, des connexions et des tentatives de connexion infructueuses, susceptibles d'indiquer une attaque potentielle.
  • Identifier les modifications de la surface d'attaque et des vecteurs de menace qui ne sont pas nécessairement couvertes par les exigences de conformité PCI.

L'importance de la visibilité en temps réel pour une conformité efficace à la norme PCI DSS

  • La visibilité en temps réel permet de garantir la précision du périmètre PCI en surveillant en permanence toutes les connexions des systèmes CDE, connectés au PCI et ayant un impact sur la sécurité PCI, qui sont tous concernés par la norme PCI. Une organisation peut ensuite appliquer une microsegmentation basée sur l'hôte pour appliquer les règles de pare-feu applicables afin de limiter le trafic entrant et sortant vers l'environnement PCI uniquement à ceux qui sont « autorisés » ou « légitimes ». (Exigence 1)
  • Le maintien continu d'une segmentation efficace et précise de l'environnement PCI permet de contrôler les coûts d'audit PCI.
  • L'élimination des règles de pare-feu mal configurées et obsolètes permet d'atténuer l'exposition d'une organisation couverte à une éventuelle violation de données.
  • Tirez parti de l'intégration avec des outils d'automatisation informatique (tels que Chef, Puppet et Ansible, Terraform) pour vous assurer que les politiques de segmentation sont configurées, en même temps que le provisionnement des ressources de charge de travail et la publication dans l'environnement de production.
  • La visibilité en temps réel permet à l'organisation d'évaluer les modifications apportées à la portée de la norme PCI lors de la transition vers le télétravail. Il aide l'organisation à identifier les failles de contrôle critiques et les vecteurs d'attaque potentiels. Les entreprises peuvent ensuite appliquer une microsegmentation basée sur l'hôte pour restreindre les connexions poste à poste entre les appareils domestiques et les ordinateurs portables des utilisateurs distants, et pour contrôler les connexions entre les utilisateurs et les applications du centre de données.
  • Contrôlez les connexions entre les charges de travail, les utilisateurs et les périphériques PCI autorisés qui sont dispersés sur plusieurs VLAN, zones et sous-réseaux, et suivez l'évolution des opérations informatiques, sans modifier l'architecture de l'environnement réseau.
  • Dans les environnements cloud natifs et nouveaux, les entreprises peuvent tirer parti de l'intégration avec les plateformes d'orchestration de conteneurs pour mettre en place des « politiques de segmentation » dès la naissance d'une charge de travail.
  • En plus de répondre directement aux exigences de conformité PCI, une organisation peut appliquer la microsegmentation pour réduire sa surface d'attaque, obstruer les mouvements latéraux et contenir la propagation rapide de ransomware.

Utiliser la microsegmentation basée sur l'hôte pour relever vos défis en matière de conformité PCI et de cybersécurité

  • La visibilité en temps réel permet de garantir la précision du périmètre PCI en surveillant en permanence toutes les connexions des systèmes CDE, connectés au PCI et ayant un impact sur la sécurité PCI, qui sont tous concernés par la norme PCI. Une organisation peut ensuite appliquer une demande basée sur l'hôte microsegmentation pour appliquer les règles de pare-feu applicables afin de limiter le trafic entrant et sortant vers l'environnement PCI uniquement à ceux qui sont « autorisés » ou « légitimes ». (Exigence 1)
  • Le maintien continu d'une segmentation efficace et précise de l'environnement PCI permet de contrôler les coûts d'audit PCI.
  • L'élimination des règles de pare-feu mal configurées et obsolètes permet d'atténuer l'exposition d'une organisation couverte à une éventuelle violation de données.
  • Tirez parti de l'intégration avec des outils d'automatisation informatique (tels que Chef, Puppet et Ansible, Terraform) pour vous assurer que les politiques de segmentation sont configurées, en même temps que le provisionnement des ressources de charge de travail et la publication dans l'environnement de production.
  • La visibilité en temps réel permet à l'organisation d'évaluer les modifications apportées à la portée de la norme PCI lors de la transition vers le télétravail. Il aide l'organisation à identifier les failles de contrôle critiques et les vecteurs d'attaque potentiels. Les entreprises peuvent ensuite appliquer une microsegmentation basée sur l'hôte pour restreindre les connexions poste à poste entre les appareils domestiques et les ordinateurs portables des utilisateurs distants, et pour contrôler les connexions entre les utilisateurs et les applications du centre de données.
  • Contrôlez les connexions entre les charges de travail, les utilisateurs et les périphériques PCI autorisés qui sont dispersés sur plusieurs VLAN, zones et sous-réseaux, et suivez l'évolution des opérations informatiques, sans modifier l'architecture de l'environnement réseau.
  • Dans les environnements cloud natifs et nouveaux, les entreprises peuvent tirer parti de l'intégration avec les plateformes d'orchestration de conteneurs pour mettre en place des « politiques de segmentation » dès la naissance d'une charge de travail.
  • En plus de répondre directement aux exigences de conformité PCI, une organisation peut appliquer la microsegmentation pour réduire sa surface d'attaque, obstruer les mouvements latéraux et contenir la propagation rapide de ransomware.

En savoir plus

Commencez dès maintenant à mettre en œuvre les mesures nécessaires pour vous conformer à la norme PCI et protéger vos clients et votre entreprise.

Découvrez comment la microsegmentation peut vous aider à réduire la portée de votre norme PCI DSS et à vous mettre en conformité avec notre livre blanc, « Trois étapes pour segmenter efficacement votre conformité PCI ».

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Ready to learn more about Zero Trust Segmentation?