Le Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) Il s'agit d'un ensemble de normes de sécurité informatique protégeant les données des cartes de paiement des principales marques (Visa, MasterCard, Discover Financial Services, JCB et American Express). Face à l'évolution constante des technologies et à la sophistication croissante des cybermenaces, les organisations doivent se tenir informées de la dernière version de la norme PCI DSS. PCI DSS 4.0 est la dernière version de la norme, développée par l' Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC)Il s’appuie sur les versions précédentes et intègre les commentaires et les idées des parties prenantes du secteur, des experts en sécurité et des organismes de réglementation.
Qui doit se conformer à la norme PCI DSS 4.0
À mesure que les environnements cloud évoluent avec l'essor du e-commerce, l'empreinte des données sensibles, notamment celles des titulaires de cartes, des comptes et des authentifications, augmente également. Si votre organisation accepte les paiements par carte de crédit, de débit ou numérique, il est essentiel de se préparer immédiatement à la norme PCI DSS 4.0.
Explorons la nouvelle refonte et apprenons tout ce que vous devez savoir sur PCI v4.0, la dernière itération du PCI DSS.
Dates clés de conformité
La mise à jour majeure de la norme de sécurité des données PCI est la première depuis 2018 (version 3.2.1). La nouvelle norme de sécurité favorise un environnement plus sécurisé pour les paiements par carte tout en répondant aux menaces émergentes et en permettant des approches uniques pour lutter contre les nouvelles menaces.
La date limite pour conformité avec la première phase de PCI DSS 4.0 est 31 mars 2024Cette phase comprend 13 nouvelles exigences relatives à la planification, aux évaluations et à la désignation des responsabilités. La deuxième phase, composée de 51 exigences hautement techniques, doit être mise en œuvre d'ici Mars 2025.
Modifications de mise en œuvre immédiate
La norme PCI DSS 4.0 introduit des changements et mises à jour fondamentaux pour renforcer les mesures de sécurité et faire face aux menaces émergentes. Les 13 exigences de la phase 1 visent à établir un cadre de responsabilisation autour des politiques opérationnelles.
Définir la responsabilité
Actuellement, 10 des 13 exigences (2.1.2, 3.1.2, 4.1.2, 5.1.2, 6.1.2, 7.1.2, 8.1.2, 9.1.2, 10.1.2 et 11.1.2) concernent l'identification et l'attribution des rôles et des responsabilités au sein des équipes de sécurité et informatiques responsables de la conformité PCI et correction des incidents de sécuritéCes exigences entrent en vigueur immédiatement pour toutes les évaluations de la version 4.0 et doivent être respectées avant la date limite du 31 mars 2024.
En formalisant ces politiques, les organisations disposeront d'une documentation sur les personnes responsables de la gestion des aspects spécifiques de leur conformité PCI. Cela contribuera à créer une culture des meilleures pratiques de sécurité, dont la mise en œuvre sera complète en mars 2025.
Exigence 12.3.2 : Approches personnalisées
La version 4.0 introduit l’option très demandée d’une « approche personnalisée », qui permet aux organisations de tirer parti de méthodes alternatives pour répondre aux exigences PCI DSS et obtenir les résultats souhaités.
Ceci est particulièrement important pour les organisations qui doivent se conformer à d’autres cadres réglementaires, tels que GDPR ou HIPAA, dont les exigences tendent à se chevaucher. Cependant, l'exigence 12.3.2 garantit que chaque approche personnalisée est analysée et bien documentée afin de déterminer l'efficacité de la mise en œuvre de contrôles spécifiques.
Exigence 12.5.2 : Portée de la norme PCI DSS
L'exigence 12.5.2 impose aux organisations de définir leurs CDE et leur périmètre PCI DSS, qui doivent être documentés et confirmés au moins une fois tous les 12 mois. Cela inclut les CDE, les processus, les parties prenantes et les technologies qui stockent, traitent ou transmettent les données des titulaires de cartes ou les données d'authentification sensibles.
Exigence 12.9.2 : Avis aux prestataires de services
Une autre exigence, la 12.9.2, s'applique uniquement aux prestataires de services tiers (TPSP). Cette exigence différencie les rôles et responsabilités du TPSP concernant la gestion du CDE du client. Le TPSP doit également fournir, à la demande du client, son état de conformité à la norme PCI DSS et des informations détaillées sur les exigences de la norme PCI DSS.
Bonnes pratiques pour PCI DSS 4.0
La norme PCI DSS v4.0 comprend plus de 50 nouvelles exigences. Il est donc important de comprendre celles qui s'appliquent à votre entreprise et les conditions requises pour se conformer. Pour obtenir la liste complète des exigences, y compris celles actuellement en vigueur et celles qui entreront en vigueur le 31 mars 2025, il est fortement recommandé de consulter le site Web. résumé des changements.
Le conseil PCI a mis l'accent sur plusieurs nouvelles normes, qui incluent la documentation des exigences de responsabilité, la sécurisation des pare-feu de commerce électronique, la protection des pages de paiement, la rotation des mots de passe, le ciblage des exigences de risque PCI, la recherche de vulnérabilités, l'utilisation de l'authentification multifacteur, l'automatisation des alertes de la gestion des informations et des événements de sécurité (SIEM), la gouvernance des données et la réponse aux incidents.
Comment BigID aborde la norme PCI DSS 4.0 pour protéger les données de paiement par carte
La norme PCI DSS 4.0 représente une étape importante dans les efforts continus visant à sécuriser les données de cartes de paiement et à lutter contre les cybermenaces. En comprenant les changements fondamentaux et les mises à jour introduits par la norme PCI DSS 4.0, les entreprises peuvent renforcer leurs défenses de sécurité et garantir leur conformité aux dernières normes du secteur.
BigID peut vous aider à vous conformer aux exigences de la norme PCI DSS 4.0. La conformité à la norme PCI DSS commence par l'établissement d'une base solide pour la découverte et la classification des données de compte, comprenant les données du titulaire de la carte et les données d'authentification sensibles. De plus, BigID prend en charge la plupart des types de sources de données répertoriés dans le cadre de la norme PCI DSS.
Avec BigID, les organisations peuvent :
- Découvrir et classer tous les types de données sensibles et de comptes avec précision et à grande échelle.
- Identifier automatiquement et obtenez un contexte précis sur les données sensibles.
- Personnaliser les classificateurs pour identifier avec précision les données liées aux paiements propres à votre organisation.
- Connectez-vous à plus de 300 types de sources de données dans le cloud et sur site – structuré, non structuré ou semi-structuré.
- Définir des politiques autour de types de données de compte spécifiques qui nécessitent un cryptage, un masquage, une conservation, une minimisation, etc.
- Obtenez des informations sur les problèmes d'accès aux données autour des données de paiement à haut risque, sensibles ou critiques dans vos environnements.
- Identifier, signaler, évaluer, et prioriser le risque d’accès aux fichiers liés aux données sensibles liées aux paiements.
- Associer les identités des titulaires de cartes à leurs données personnelles et sensibles et maintenir une vue centrale de l’exposition aux violations et de la réponse aux incidents.
- Atténuer les risques grâce aux flux de travail de correction, en déléguant entièrement aux propriétaires de données pour réduire la surface d'attaque et protéger les données des titulaires de cartes.
Commencez à respecter la conformité PCI DSS et à atténuer les risques liés aux données dès aujourd’hui. Obtenir une démonstration 1:1 avec nos experts en sécurité pour voir BigID en action.
Auteur
