PCI DSS

Qui doit se conformer à la norme PCI DSS ?

L'objectif de la norme de sécurité des données PCI (PCI DSS) est de protéger les données des titulaires de cartes (CHD) et les données d'authentification sensibles (SAD) partout où elles sont traitées, stockées ou transmises. Toutes les organisations qui stockent, traitent ou transmettent des données relatives aux titulaires de cartes doivent assurer la sécurité des paiements.

Les normes de sécurité PCI comprennent des exigences techniques et opérationnelles pour :

• Organismes acceptant ou traitant des transactions de paiement
• Développeurs de logiciels et fabricants d'applications et d'appareils utilisés dans ces transactions

PCI 3.2.1, publiée en mai 2018, est la version actuelle à laquelle les organisations couvertes doivent se conformer.

La validation de la conformité est effectuée annuellement ou trimestriellement, selon une méthode adaptée à la désignation du niveau marchand de l'organisation, qui est fonction du volume annuel des transactions par carte de crédit traitées.

Résumé des niveaux marchands PCI et des exigences en matière d'audit et de rapports

Le tableau ci-dessous donne une vue d'ensemble des niveaux PCI pour les commerçants, des architectures de paiement généralement utilisées à chaque niveau et des exigences correspondantes en matière d'audit et d'établissement de rapports PCI. Note : Il existe des différences subtiles dans les critères de référence au niveau du commerçant entre les sociétés de cartes de crédit. Il est donc conseillé aux lecteurs de consulter leurs conseillers PCI et leurs partenaires QSA pour obtenir une évaluation précise des exigences qui s'appliquent à leur organisation. 

12 exigences de la norme PCI DSS

La norme PCI DSS 3.2.1 comprend 6 objectifs, 12 exigences, 78 exigences de base et plus de 400 procédures de test. Le tableau ci-dessous résume les objectifs de la norme PCI DSS et les exigences correspondantes. Pour plus de détails sur les sous-exigences et les tests, le lecteur est invité à consulter le guide de référence de la norme PCI DSS.

Risques potentiels liés à la non-conformité aux normes PCI

La norme PCI DSS existe depuis plus de 12 ans, mais de nombreuses organisations continuent d'être confrontées à des conclusions négatives critiques lors des audits. Une poignée d'organisations continuent également à signaler qu'elles ont été victimes d'une violation de données, même après avoir récemment passé avec succès un audit PCI. L'essentiel à retenir est que la conformité ne signifie pas nécessairement que les données et les applications sont sécurisées. La conformité doit être considérée comme la base de référence, et les organisations doivent également se concentrer sur l'identification et l'atténuation des vecteurs de menace qui ne sont pas nécessairement couverts par leurs mandats de conformité.

Il s'agit des défis les plus courants en matière de conformité à la norme PCI :

1. Nécessité de gérer la portée et de contrôler le coût des audits PCI. Le Conseil de sécurité de l'ICP a publié un guide sur la délimitation du champ d'application et la segmentation du réseau. Le document propose un cadre pour aider les organisations couvertes à identifier les composants de l'environnement des données des titulaires de cartes (CDE), les systèmes connectés au PCI et ayant un impact sur la sécurité du PCI, ainsi que les composants hors du champ d'application. Malheureusement, l'exécution du cadre de délimitation et de segmentation est difficile pour de nombreuses organisations en raison de la nature de plus en plus dynamique et complexe des environnements des centres de données et des architectures de paiement. Le fait de s'appuyer sur des données statiques et ponctuelles et sur des cartes de flux de réseau pour alimenter et maintenir l'inventaire des composants PCI, combiné à des pratiques incohérentes de gestion des changements informatiques et des changements de pare-feu, entraîne des erreurs de délimitation et de segmentation qui, à leur tour, se traduisent par des échecs de l'évaluation PCI et des coûts d'audit plus élevés.
2. Incapacité à maintenir en permanence sa conformité à la norme de sécurité PCI et sa position de segmentation. Les normes de sécurité PCI exigent des organisations qu'elles maintiennent en permanence leur position de segmentation PCI et qu'elles s'assurent qu'elles sont en permanence en conformité avec les exigences PCI et les exigences de base. Les architectures dynamiques et complexes des centres de données et des paiements, combinées à un mauvais alignement des processus de sécurité et des opérations informatiques, entraînent des lacunes en matière de sécurité et de contrôle. En raison des pratiques informatiques, les composants PCI finissent souvent par se mélanger avec des composants non PCI dans la même zone, le même VLAN ou le même sous-réseau, et sans contrôles supplémentaires pour restreindre le trafic vers le CDE. Dans certains cas, la déconnexion entre les processus de gestion des changements informatiques, d'approvisionnement en ressources et de gestion des changements de pare-feu se traduit par un inventaire incorrect des systèmes connectés au PCI et par des règles de pare-feu mal configurées. Le rapport de Verizon sur la sécurité des paiements fournit un examen détaillé des tendances en matière de sécurité des paiements et des défis critiques en matière de sécurité auxquels les organisations continuent à être confrontées. Verizon publie ce rapport chaque année depuis 2010. Dans le rapport 2020, les auteurs concluent que les exigences PCI suivantes présentent les pires lacunes en matière de contrôle :
3. Req 11. Tester les systèmes et les processus de sécurité
4. Req 5. Protéger contre les logiciels malveillants
5. Req 10. Suivre et contrôler l'accès
6. Req 12. Gestion de la sécurité
7. Req 8. Authentifier l'accès
8. Req 1. Installer et maintenir une configuration de pare-feu
9. Avoir des réseaux plats. Il est surprenant de constater que de nombreuses organisations continuent aujourd'hui à utiliser des réseaux plats parce qu'ils sont simples à architecturer et faciles à exploiter et à entretenir. Toutefois, un réseau plat signifie que tout ce qui se trouve dans l'environnement (y compris les composants non connectés à PCI et non CDE) est dans le champ d'application de PCI, ce qui entraîne des coûts d'audit PCI plus élevés. Un réseau plat signifie également que si un acteur malveillant parvient à compromettre un seul hôte, il peut ensuite facilement traverser le réseau et accéder aux applications de paiement et à la base de données des titulaires de cartes.
10. Nécessité de sécuriser la transition vers le modèle de fonctionnement du travail à distance. Au fur et à mesure que les organisations passent à un modèle de travail entièrement à distance, elles doivent évaluer comment ces changements affectent la portée de leur environnement PCI et quels contrôles supplémentaires elles doivent mettre en œuvre pour contrôler le trafic légitime vers le CDE. Les exemples incluent la sécurisation de l'accès à distance légitime des administrateurs autorisés aux applications de paiement à partir des ordinateurs portables des employés, la sécurisation de l'assistance à la clientèle et de la facturation à distance, et la sécurisation des connexions autorisées sur site, sans contact, entre les kiosques sans contact orientés vers l'internet et les applications du centre de données.

Quels sont les défis courants liés à la mise en œuvre de la norme de sécurité des données PCI ?

La visibilité en temps réel des charges de travail, des utilisateurs, des appareils et de leurs connexions et flux est importante :

• Veiller à ce que la portée de l'environnement PCI soit actualisée et précise, ce qui signifie que les règles de segmentation et de pare-feu sont correctement appliquées.
• Fournir des informations précieuses pour les analyses trimestrielles obligatoires des vulnérabilités internes et utiliser ces informations pour cartographier les voies d'attaque latérales potentielles associées aux vulnérabilités.
• surveiller en permanence l'environnement PCI pour détecter les changements dans les charges de travail, les dispositifs, les utilisateurs, les connexions et les tentatives de connexion infructueuses qui pourraient être des indicateurs d'une attaque potentielle.
• Identifier les changements dans la surface d'attaque et les vecteurs de menace qui ne sont pas nécessairement couverts par les exigences de conformité PCI.

L'importance de la visibilité en temps réel pour une conformité efficace à la norme PCI DSS

• La visibilité en temps réel permet de garantir l'exactitude du champ d'application PCI en surveillant en permanence toutes les connexions du CDE, les systèmes connectés au PCI et les systèmes ayant un impact sur la sécurité du PCI, qui sont tous dans le champ d'application du PCI. Une organisation peut alors appliquer une micro-segmentation basée sur l'hôte pour mettre en œuvre les règles de pare-feu applicables afin de restreindre le trafic entrant et sortant vers l'environnement PCI uniquement à ceux qui sont "autorisés" ou "légitimes". (Exigence 1)
• Le maintien permanent d'une segmentation efficace et précise de l'environnement PCI permet de contrôler les coûts d'audit PCI.
• L'élimination des règles de pare-feu mal configurées et obsolètes réduit l'exposition d'une organisation couverte à une violation potentielle des données.
• Profitez de l'intégration avec les outils d'automatisation informatique (comme Chef, Puppet, Ansible, Terraform) pour vous assurer que les politiques de segmentation sont provisionnées, en même temps que le provisionnement des ressources de charge de travail et la mise en production de l'environnement.
• La visibilité en temps réel aide l'organisation à évaluer les changements apportés à la portée de l'ICP lors de la transition vers le travail à distance. Il aide l'organisation à identifier les lacunes critiques en matière de contrôle et les vecteurs d'attaque potentiels. Les entreprises peuvent ensuite appliquer une micro-segmentation basée sur l'hôte pour restreindre les connexions peer-to-peer entre les appareils domestiques et les ordinateurs portables des utilisateurs distants, et pour contrôler les connexions entre les utilisateurs et les applications du centre de données.
• Contrôlez les connexions entre les charges de travail, les utilisateurs et les périphériques PCI autorisés qui sont dispersés dans plusieurs VLAN, zones et sous-réseaux, et suivez les changements des opérations informatiques, sans réarchitecture de l'environnement réseau.
• Dans les environnements "cloud-native" et "greenfield", les entreprises peuvent tirer parti de l'intégration avec les plateformes d'orchestration de conteneurs pour fournir des "politiques de segmentation" à la naissance d'une charge de travail.
• En plus de répondre directement aux exigences de conformité PCI, une organisation peut appliquer la micro-segmentation pour réduire sa surface d'attaque, obstruer les mouvements latéraux et contenir la propagation rapide des ransomwares.

Utiliser la micro-segmentation basée sur l'hôte pour répondre à vos défis en matière de conformité PCI et de cybersécurité

• La visibilité en temps réel permet de garantir l'exactitude du champ d'application PCI en surveillant en permanence toutes les connexions du CDE, les systèmes connectés au PCI et les systèmes ayant un impact sur la sécurité du PCI, qui sont tous dans le champ d'application du PCI. Une organisation peut alors appliquer une micro-segmentation basée sur l'hôte pour mettre en œuvre les règles de pare-feu applicables afin de restreindre le trafic entrant et sortant vers l'environnement PCI uniquement à ceux qui sont "autorisés" ou "légitimes". (Exigence 1)
• Le maintien permanent d'une segmentation efficace et précise de l'environnement PCI permet de contrôler les coûts d'audit PCI.
• L'élimination des règles de pare-feu mal configurées et obsolètes réduit l'exposition d'une organisation couverte à une violation potentielle des données.
• Profitez de l'intégration avec les outils d'automatisation informatique (comme Chef, Puppet, Ansible, Terraform) pour vous assurer que les politiques de segmentation sont provisionnées, en même temps que le provisionnement des ressources de charge de travail et la mise en production de l'environnement.
• La visibilité en temps réel aide l'organisation à évaluer les changements apportés à la portée de l'ICP lors de la transition vers le travail à distance. Il aide l'organisation à identifier les lacunes critiques en matière de contrôle et les vecteurs d'attaque potentiels. Les entreprises peuvent ensuite appliquer une micro-segmentation basée sur l'hôte pour restreindre les connexions peer-to-peer entre les appareils domestiques et les ordinateurs portables des utilisateurs distants, et pour contrôler les connexions entre les utilisateurs et les applications du centre de données.
• Contrôlez les connexions entre les charges de travail, les utilisateurs et les périphériques PCI autorisés qui sont dispersés dans plusieurs VLAN, zones et sous-réseaux, et suivez les changements des opérations informatiques, sans réarchitecture de l'environnement réseau.
• Dans les environnements "cloud-native" et "greenfield", les entreprises peuvent tirer parti de l'intégration avec les plateformes d'orchestration de conteneurs pour fournir des "politiques de segmentation" à la naissance d'une charge de travail.
• En plus de répondre directement aux exigences de conformité PCI, une organisation peut appliquer la micro-segmentation pour réduire sa surface d'attaque, obstruer les mouvements latéraux et contenir la propagation rapide des ransomwares.

Learn more

Commencez dès maintenant à mettre en œuvre les mesures nécessaires pour vous conformer à la norme PCI et protéger vos clients et votre entreprise.

Pour en savoir plus sur la façon dont la micro-segmentation peut vous aider à réduire votre champ d'application PCI DSS et à vous mettre en conformité, consultez notre livre blanc, "Trois étapes pour segmenter efficacement votre conformité PCI."