Norme PCI DSS

Nos certifications
Normes & Directives Norme PCI DSS

Dans le monde actuel, où les transactions par carte de paiement sont devenues omniprésentes, la sécurité des données des titulaires de carte est d'une importance capitale. La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité rigoureuses élaborées pour répondre à ce besoin crucial.

Réaliser un audit de sécurité

Qu’est-ce que la norme PCI DSS ?

La norme PCI DSS est élaborée par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC), un organisme à but non lucratif regroupant les principales sociétés de cartes de paiement telles que Visa, Mastercard, American Express et Discover.

La norme PCI DSS est un ensemble de 12 exigences obligatoires mises en place par les principales sociétés de cartes de paiement (Visa, Mastercard, American Express, Discover et JCB) dans le but de protéger les données sensibles des titulaires de carte lors des transactions par carte.

Cette norme s'applique à toutes les organisations qui traitent, stockent ou transmettent ces données, y compris les commerçants, les banques, les processeurs de paiement et les fournisseurs de services tiers.

Quelles sont les 12 exigences de la norme PCI DSS ?

Les 12 exigences de la norme PCI DSS (Payment Card Industry Data Security Standard) définissent un ensemble de contrôles de sécurité que les organisations qui traitent, stockent ou transmettent des données de cartes de paiement doivent mettre en œuvre afin de protéger ces données contre les intrusions, les fuites et les autres utilisations frauduleuses.

Les 12 exigences sont :

  1. Installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte.
  2. Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système.
  3. Protéger les données des titulaires de carte en stock.
  4. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts.
  5. Utiliser et mettre à jour régulièrement un logiciel ou des programmes antivirus.
  6. Développer et gérer des applications et ses systèmes sécurisés.
  7. Limiter l’accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue.
  8. Attribuer une identité d’utilisateur unique à chaque personne disposant d’un accès informatique.
  9. Limiter l’accès physique aux données des titulaires de carte.
  10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
  11. Tester régulièrement les systèmes et procédures de sécurité.
  12. Disposer d’une politique prenant en compte la sécurité de l’information pour les employés et sous-traitants.

Ses exigences sont classées par famille, découvrons chacune d’entre elles.

Mettre en place et gérer un réseau de sécurité

01

Installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte

L'exigence PCI DSS 1 est essentielle pour la sécurité des réseaux qui traitent ou stockent des données des titulaires de carte. Elle vise à mettre en place et à gérer une configuration de pare-feu efficace afin de protéger ces données contre les accès non autorisés, les intrusions et les autres menaces.

Les points clés de cette exigence sont :

  • Mettre en place un pare-feu : Installer et configurer un pare-feu sur tous les points d'entrée et de sortie du réseau.
  • Configurer le pare-feu : Configurer le pare-feu pour bloquer tout trafic non autorisé, y compris les ports et les protocoles non utilisés.
  • Tester régulièrement le pare-feu : Tester régulièrement le pare-feu pour s'assurer qu'il fonctionne correctement et qu'il bloque efficacement les menaces.
  • Mettre à jour le pare-feu régulièrement : Mettre à jour régulièrement le logiciel et le micrologiciel du pare-feu pour corriger les vulnérabilités et les failles de sécurité.
  • Documenter la configuration du pare-feu : Documenter la configuration du pare-feu et les procédures de modification.

02

Ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système

L'exigence PCI DSS 2 est fondamentale pour la sécurité des systèmes informatiques qui traitent ou stockent des données des titulaires de carte. Elle vise à empêcher l'utilisation des paramètres par défaut fournis par le fournisseur pour les mots de passe et les autres paramètres de sécurité du système.

En effet, ces paramètres par défaut sont souvent connus et peuvent être facilement devinés par les pirates informatiques, ce qui les rend vulnérables aux intrusions et aux fuites de données.

Les points clés de cette exigence sont les suivants :

  • Changer les mots de passe par défaut : Changer tous les mots de passe par défaut fournis par le fournisseur pour les systèmes, les périphériques et les comptes d'utilisateurs.
  • Utiliser des mots de passe forts : Utiliser des mots de passe forts et complexes pour tous les comptes d'utilisateurs, en évitant les mots de passe faciles à deviner tels que les noms, les dates d'anniversaire ou les mots courants.
  • Mettre à jour régulièrement les mots de passe : Mettre à jour régulièrement les mots de passe, au moins tous les 90 jours.
  • Restreindre l'accès aux paramètres de sécurité : Restreindre l'accès aux paramètres de sécurité du système aux administrateurs autorisés uniquement.
  • Surveiller les activités des utilisateurs : Surveiller les activités des utilisateurs pour détecter les activités suspectes, telles que les tentatives de connexion infructueuses ou les modifications non autorisées des paramètres de sécurité.

Protéger les données des titulaires de carte

03

Protéger les données des titulaires de carte en stock

L'exigence PCI DSS 3 est l'une des exigences les plus importantes de la norme, car elle vise à protéger les données sensibles des titulaires de carte contre tout accès non autorisé, vol ou divulgation.

Cette exigence s'applique à toutes les données des titulaires de carte stockées par une organisation, y compris les numéros de carte, les dates d'expiration et les informations de sécurité.

Les points clés de cette exigence sont :

  • Identifier les données des titulaires de carte : Identifier et inventorier toutes les données des titulaires de carte stockées par l'organisation.
  • Protéger les données des titulaires de carte : Protéger les données des titulaires de carte contre tout accès non autorisé, divulgation ou altération. Cela peut inclure le chiffrement des données, le contrôle strict de l'accès et la mise en place de mesures de sécurité physique.
  • Limiter le stockage des données des titulaires de carte : Ne stocker que les données des titulaires de carte dont l'organisation a besoin pour les besoins professionnels légitimes.
  • Supprimer les données des titulaires de carte en toute sécurité : Supprimer en toute sécurité les données des titulaires de carte lorsqu'elles ne sont plus nécessaires.

04

Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts

L'exigence PCI DSS 4 vise à protéger les données sensibles des titulaires de carte contre les interceptions et le vol lorsqu'elles sont transmises sur des réseaux publics ouverts, tels que l'Internet.

Cela permet de minimiser le risque de fraude et de vol d'informations lors des transactions en ligne.

Les points clés de cette exigence sont :

  • Chiffrer toutes les données des titulaires de carte transmises sur des réseaux publics ouverts : Chiffrer toutes les données des titulaires de carte, y compris les numéros de carte, les dates d'expiration et les informations de sécurité, lors de leur transmission sur des réseaux publics ouverts.
  • Utiliser un protocole de chiffrement fort : Utiliser un protocole de chiffrement fort, tel que TLS (Transport Layer Security) ou HTTPS (Hypertext Transfer Protocol Secure), pour protéger les données des titulaires de carte en transit.
  • Valider les certificats de sécurité : Valider les certificats de sécurité des sites web et des applications avant de leur transmettre des données des titulaires de carte.
  • Mettre à jour régulièrement les logiciels de chiffrement : Mettre à jour régulièrement les logiciels de chiffrement et les protocoles de sécurité pour garantir qu'ils sont efficaces contre les menaces récentes.

Disposer d’un programme de gestion de la vulnérabilité

05

Utiliser et mettre à jour régulièrement un logiciel ou des programmes antivirus

L'exigence PCI DSS 5 vise à protéger les systèmes informatiques contre les malwares, les virus et autres menaces logicielles en utilisant et en mettant à jour régulièrement un logiciel ou des programmes antivirus.

Cela permet de minimiser le risque de fuites de données et de violations de la sécurité causées par des infections virales ou des malwares.

Les points clés de cette exigence sont :

  • Installer et utiliser un logiciel antivirus : Installer et utiliser un logiciel antivirus approuvé sur tous les systèmes informatiques qui stockent ou traitent des données des titulaires de carte.
  • Mettre à jour les définitions de virus régulièrement : Mettre à jour les définitions de virus du logiciel antivirus au moins quotidiennement.
  • Exécuter des analyses antivirus régulières : Exécuter des analyses antivirus complètes des systèmes informatiques au moins une fois par semaine.
  • Valider les analyses antivirus : Valider les analyses antivirus pour s'assurer qu'elles fonctionnent correctement et qu'elles détectent les menaces connues.
  • Tester les logiciels antivirus : Tester les logiciels antivirus pour s'assurer qu'ils sont efficaces contre les menaces récentes.

06

Développer et gérer des applications et ses systèmes sécurisés

L'exigence PCI DSS 6 vise à garantir que les applications et les systèmes qui traitent ou stockent des données des titulaires de carte sont développés et gérés de manière sécurisée.

Cela permet de minimiser le risque de failles de sécurité et de vulnérabilités qui pourraient être exploitées par les pirates informatiques pour voler ou divulguer des données sensibles.

Les points clés de cette exigence sont :

  • Mettre en place un processus de développement sécurisé : Mettre en place un processus de développement sécurisé pour toutes les applications et systèmes qui traitent ou stockent des données des titulaires de carte. Ce processus doit inclure des contrôles tels que l'analyse statique et dynamique du code, les tests de pénétration et les évaluations de la sécurité.
  • Gérer les vulnérabilités : Identifier et corriger rapidement les vulnérabilités dans les applications et les systèmes.
  • Restreindre l'accès aux données : Restreindre l'accès aux données des titulaires de carte aux seules personnes qui en ont besoin pour effectuer leur travail.
  • Protéger les données des titulaires de carte : Protéger les données des titulaires de carte contre tout accès non autorisé, divulgation ou altération.
  • Surveiller les systèmes et les applications : Surveiller les systèmes et les applications pour détecter les activités suspectes et les intrusions.

Mettre en œuvre des mesures de contrôle d'accès efficaces

07

Limiter l’accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue

L'exigence PCI DSS 7 vise à protéger les données sensibles des porteurs de carte en limitant l'accès à ces données aux personnes qui en ont un besoin absolu pour leur travail.

Cela permet de minimiser le risque de fuites de données et de violations de la sécurité causées par un accès non autorisé ou une utilisation abusive des données.

Les points clés de cette exigence sont :

  • Identifier les rôles et les responsabilités : Définir clairement les rôles et les responsabilités au sein de l'organisation et identifier les personnes qui ont besoin d'accéder aux données des porteurs de carte pour effectuer leur travail.
  • Accorder des autorisations d'accès minimum : Accorder aux utilisateurs uniquement les autorisations d'accès dont ils ont besoin pour effectuer leur travail. Ne pas accorder d'autorisations d'accès excessives ou inutiles.
  • Surveiller l'accès aux données : Surveiller l'accès aux données des porteurs de carte pour détecter les activités suspectes, telles que les accès inhabituels aux données ou les modifications non autorisées.
  • Revoir et révoquer les autorisations d'accès régulièrement : Revoir et révoquer les autorisations d'accès aux données des porteurs de carte régulièrement ou lorsque les besoins professionnels d'un utilisateur changent.

08

Attribuer une identité d’utilisateur unique à chaque personne disposant d’un accès informatique

L'exigence PCI DSS 8 vise à garantir que chaque personne disposant d'un accès aux systèmes informatiques de l'organisation se voit attribuer une identité d'utilisateur unique.

Cela permet de suivre les activités individuelles des utilisateurs et de responsabiliser les personnes en cas d'utilisation abusive des systèmes ou de violation des données.

Les points clés de cette exigence sont :

  • Attribuer des identifiants d'utilisateurs uniques : Attribuer à chaque utilisateur un identifiant unique qui ne peut pas être partagé.
  • Exiger une authentification forte : Exiger une authentification forte, telle qu'un mot de passe complexe ou une authentification à deux facteurs, pour tous les accès aux systèmes informatiques.
  • Interdire l'utilisation de comptes partagés : Interdire l'utilisation de comptes partagés, tels que les comptes administrateur génériques ou les comptes partagés par un service ou un groupe d'utilisateurs.
  • Suivre et surveiller l'activité des utilisateurs : Suivre et surveiller l'activité des utilisateurs pour détecter les activités suspectes, telles que les accès inhabituels aux données ou les modifications non autorisées de la configuration.

09

Limiter l’accès physique aux données des titulaires de carte

L'exigence PCI DSS 9 vise à protéger les données sensibles des titulaires de carte contre tout accès non autorisé en contrôlant l'accès physique aux environnements où ces données sont stockées ou traitées.

Cela inclut les centres de données, les bureaux et tout autre endroit où les données des titulaires de carte peuvent être présentes.

Les points clés de cette exigence sont :

  • Identifier les zones à accès restreint : Définir clairement les zones où sont stockées ou traitées les données des titulaires de carte et limiter l'accès physique à ces zones uniquement aux personnes autorisées.
  • Contrôler l’accès : Mettre en place des contrôles d'accès physiques, tels que des badges, des serrures biométriques ou des systèmes de contrôle d'accès électroniques, pour restreindre l'entrée dans les zones à accès restreint.
  • Surveiller l’accès : Surveiller l'accès aux zones à accès restreint, y compris l'enregistrement des entrées et des sorties, et alerter les responsables en cas d'accès non autorisé.
  • Protéger les supports papier : Protéger les supports papier contenant des données des titulaires de carte contre l'accès non autorisé, le vol ou la perte.
  • Former le personnel : Former le personnel à la sensibilisation à la sécurité PCI DSS et aux procédures d'accès physique aux données des titulaires de carte.
  • Mettre en œuvre des procédures de gestion des incidents : Mettre en place des procédures pour répondre aux incidents de sécurité physique, tels que les intrusions non autorisées ou la perte de supports papier.

Surveiller et tester régulièrement les réseaux

10

Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte

L'exigence PCI DSS 10 vise à surveiller et à enregistrer toutes les activités d'accès aux ressources du réseau et aux données des titulaires de carte afin de détecter et de prévenir les intrusions non autorisées, les abus de données et les violations de sécurité.

Cela permet aux organisations d'identifier les comportements suspects et de prendre des mesures correctives rapides en cas d'incident.

Les points clés de cette exigence sont :

  • Mettre en place des systèmes de journalisation et de surveillance : Mettre en place des systèmes pour journaliser et surveiller toutes les activités d'accès aux ressources du réseau et aux données des titulaires de carte, y compris les connexions utilisateur, les accès aux fichiers, les transferts de données et les modifications de configuration.
  • Analyser les journaux : Analyser régulièrement les journaux pour détecter les activités suspectes, telles que les tentatives de connexion infructueuses, les accès inhabituels aux données ou les modifications non autorisées de la configuration.
  • Conserver les journaux : Conserver les journaux d'accès pendant une période de temps minimale spécifiée par la norme PCI DSS.
  • Mettre en place des contrôles d'accès basés sur les rôles : Mettre en place des contrôles d'accès basés sur les rôles pour limiter l'accès aux ressources du réseau et aux données des titulaires de carte uniquement aux utilisateurs qui en ont besoin pour effectuer leur travail.
  • Vérifier l'intégrité des fichiers : Vérifier régulièrement l'intégrité des fichiers critiques pour détecter toute modification non autorisée.

11

Tester régulièrement les systèmes et procédures de sécurité

L'exigence PCI DSS 11 vise à garantir que les systèmes et procédures de sécurité sont efficaces et qu'ils protègent correctement les données des titulaires de carte contre les menaces en constante évolution.

Cela implique de tester régulièrement les vulnérabilités des systèmes, d'effectuer des tests d'intrusion et de vérifier que les procédures de sécurité sont correctement suivies.

Les points clés de cette exigence sont :

  • Mettre en place un programme de tests de vulnérabilité : Mettre en place et maintenir un programme de tests de vulnérabilité pour identifier les failles de sécurité dans les systèmes et les applications.
  • Effectuer des tests d’intrusion : Effectuer régulièrement des tests d'intrusion internes et externes pour simuler des attaques réelles et identifier les points d'entrée potentiels pour les pirates informatiques.
  • Tester les procédures de sécurité : Tester régulièrement les procédures de sécurité pour s'assurer qu'elles sont efficaces et qu'elles sont correctement suivies par le personnel.
  • Corriger les vulnérabilités : Corriger rapidement les vulnérabilités identifiées lors des tests.

Disposer d’une politique en matière de sécurité de l’information

12

Disposer d’une politique prenant en compte la sécurité de l’information pour les employés et sous-traitants

L'exigence PCI DSS 12 vise à garantir que tous les employés et sous-traitants qui ont accès aux données des titulaires de carte comprennent leurs responsabilités en matière de sécurité de l'information et respectent les politiques de sécurité de l'organisation.

Cela permet de minimiser le risque de fuites de données et de violations de la sécurité causées par des erreurs humaines ou des pratiques négligentes.

Les points clés de cette exigence sont :

  • Mettre en place une politique de sécurité de l’information : Développer et documenter une politique de sécurité de l'information qui couvre tous les aspects de la sécurité des données des titulaires de carte, y compris la confidentialité, l'intégrité et la disponibilité.
  • Communiquer la politique de sécurité : Communiquer la politique de sécurité de l'information à tous les employés et sous-traitants et s'assurer qu'ils la comprennent.
  • Former le personnel : Former régulièrement les employés et sous-traitants à la sensibilisation à la sécurité PCI DSS et aux exigences de la politique de sécurité de l'information.
  • Surveiller la conformité : Surveiller la conformité à la politique de sécurité de l'information et prendre des mesures correctives en cas de violation.
  • Gérer les sous-traitants : Mettre en place des processus de sécurité pour gérer les sous-traitants qui ont accès aux données des titulaires de carte, y compris des exigences contractuelles et des évaluations de la sécurité.

Pourquoi la norme PCI DSS est-elle importante ?

Protection des données des titulaires de carte

La norme PCI DSS établit un cadre robuste de mesures de sécurité pour protéger les données sensibles des cartes, telles que les numéros de carte, les dates d'expiration et les informations personnelles.

Cela inclut le chiffrement des données, le contrôle strict des accès, la gestion des vulnérabilités et la mise en place de pare-feu pour protéger les systèmes contre les intrusions.

En respectant ces exigences, les organisations minimisent considérablement les risques de fraude par carte, de vol de données et d'autres cyberattaques qui pourraient avoir des conséquences désastreuses pour les clients et la réputation de l'entreprise.

Renforcement de la confiance des clients

À l'ère du numérique, les clients accordent une importance croissante à la sécurité de leurs données lorsqu'ils effectuent des paiements en ligne.

En affichant leur conformité à la norme PCI DSS, les organisations démontrent leur engagement envers la protection des informations sensibles des clients.

Cela inspire confiance et favorise la fidélité des clients, ce qui se traduit par une augmentation des ventes, une meilleure image de marque et une plus grande satisfaction client.

Réduction des risques et des coûts liés aux violations de données

Les fuites de données de cartes de paiement peuvent avoir des répercussions financières et réputationnelles dévastatrices pour les organisations.

Les amendes réglementaires, les actions en justice, les pertes de clients et les perturbations opérationnelles ne sont que quelques-unes des graves conséquences d'une violation de données.

La conformité à la norme PCI DSS permet de réduire considérablement ces risques et de limiter les coûts potentiels associés à une telle violation.

Élargissement des opportunités commerciales

De nombreux partenaires commerciaux et fournisseurs exigent la conformité à la norme PCI DSS comme condition préalable à la collaboration.

En respectant la norme, les organisations ouvrent de nouvelles portes à des partenariats et à des marchés potentiels, stimulant ainsi leur croissance, leur succès et leur compétitivité.

Cela peut se traduire par l'accès à de nouveaux clients, à des produits et à des services, et à des opportunités de collaboration stratégiques.

Facilitation de la conformité à d'autres exigences réglementaires

La norme PCI DSS englobe des principes de sécurité fondamentaux qui sont alignés sur d'autres normes de conformité, telles que ISO 27001 et HIPAA.

La conformité à la norme PCI DSS simplifie donc le processus de conformité à d'autres exigences réglementaires, réduisant la charge administrative et les coûts associés.

Cela permet aux organisations de se concentrer sur leurs activités principales tout en s'assurant qu'elles respectent les différentes réglementations en vigueur.

Tranquillité d'esprit pour les dirigeants et les employés

La protection des données sensibles des clients est une responsabilité majeure pour les dirigeants et les employés des organisations qui traitent les paiements par carte.

Savoir que les données sont sécurisées grâce à des mesures conformes à la norme PCI DSS procure une tranquillité d'esprit inestimable.

Cela permet aux dirigeants de se concentrer sur la stratégie et la croissance de l'entreprise, tandis que les employés peuvent travailler en toute confiance en sachant qu'ils contribuent à la protection des informations des clients.

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités. Contactez-nous

Contactez-nous !

+33 1 85 09 15 09
*requis