Conformité PCI DSS 3.0 obligatoire en juillet 2015 : êtes-vous prêt ?

La date limite pour effectuer les changements de mise en conformité PCI DSS 3.0 approche à grands pas. L'expert Mike Chapple explique quels sont ces changements et comment s'y préparer.

L'heure tourne pour les entreprises qui n'ont pas encore effectué la mise à niveau de leurs systèmes de traitement des cartes de paiement pour les mettre en conformité avec PCI DSS 3.0. Votre entreprise est-elle prête pour ce changement ?

Dans cet article, nous examinons trois des principaux changements de PCI 3.0, en expliquant les mesures à prendre pour mettre votre entreprise en conformité dans les délais.

Gestion des prestataires de services

Le standard PCI DSS étant une obligation contractuelle, plutôt que légale, il ne s'applique pas directement aux entités qui n'ont pas signé de contrats commerciaux relatifs aux cartes de crédit. Cependant, la plupart des entreprises dépendent de services externes pour une portion de leur système de traitement des cartes de crédit.

PCI DSS s'applique à ces entités en les considérant comme des prestataires de services et en exigeant que les commerçants signent des contrats avec tous les prestataires qui stockent, traitent ou transmettent des informations relatives aux cartes de crédit pour leur compte. Ces contrats doivent exiger que les prestataires de services soient en conformité avec les dispositions du standard PCI DSS.

CB

Le concept de prestataire de services date de la première version de PCI DSS, et les commerçants ont toujours eu l'obligation de tenir à jour les listes de leurs prestataires de services, de passer des contrats écrits avec eux et de suivre leur situation en matière de mise en conformité. PCI DSS 3.0 introduit une nouvelle exigence applicable aux commerçants qui traitent avec des prestataires de services.

Selon l'exigence 12.8.5, les commerçants tiennent à jour des informations indiquant quelles exigences PCI DSS relèvent de la responsabilité du commerçant et lesquelles relèvent de la responsabilité du prestataire.

Lorsque vous actualisez ces documents pour respecter cette nouvelle exigence, reposez-vous largement sur les prestataires de services. Après tout, ils répondent à la même question pour chaque client de leur portefeuille. Beaucoup d'entre eux élaborent des documents détaillés présentant l'étendue de leur conformité PCI DSS et détaillant les responsabilités laissées aux commerçants. Dans certains cas, ces documents sont élaborés par des évaluateurs QSA (PCI Qualified Security Assessors). Les entreprises peuvent s'appuyer sur ces informations et les tenir à jour dans leur dossier de conformité.

Rigueur des tests d'intrusion

L'exigence 11.3 de PCI DSS a toujours imposé aux entreprises d'effectuer à la fois des tests d'intrusion internes et externes sur leurs environnements, chaque année et après chaque changement important. Dans son rapport de conformité PCI 2014 PCI, Verizon révèle que le test d'intrusion est le contrôle le moins appliqué par l'ensemble de ses clients. En effet, moins de 40 % des commerçants respectent les exigences relatives aux tests d'intrusion et documentent correctement leurs contrôles.

Le Consortium PCI a réagi en augmentant la rigueur des exigences relatives aux tests d'intrusion dans PCI DSS 3.0. Outre des tests annuels et après chaque changement, le standard demande désormais aux entreprises de spécifier de nombreux détails concernant les tests eux-mêmes. Les tests, qui doivent être effectués par un testeur indépendant et qualifié, et s'appuyer sur des approches standard du secteur, couvrent tout l'environnement des données des détenteurs de cartes, incluent le test des contrôles de segmentation et répondent à d'autres spécifications détaillées contenues dans l'exigence 11.3.

Lorsqu'une entreprise met à niveau ses contrôles de tests d'intrusion, elle doit d'abord examiner l'entité qui effectue le test. Si ce dernier est exécuté par un employé, l'entreprise devra convaincre les auditeurs qu'il est qualifié pour cette tâche et que d'un point de vue organisationnel, il est indépendant des personnes chargées de la mise en oeuvre et de la gestion des contrôles de sécurité. Le testeur est-il capable de satisfaire les nombreuses nouvelles exigences de la section 11.3? Si ce n'est pas le cas, il serait peut-être préférable de faire appel à une entreprise spécialisée dans les tests d'intrusion pour répondre à cette exigence.

Mises à jour de la sécurité physique

PCI DSS 3.0 modifie en outre les conditions auxquelles doivent satisfaire les sites de traitement des données de détenteurs de cartes en matière de sécurité physique. La nouvelle exigence, 9.3, renforce le degré de rigueur autour de l'accès du personnel sur site aux zones sensibles. Les entreprises doivent désormais autoriser l'accès des personnes de manière explicite et cet accès doit être exigé pour la fonction de chaque personne. De plus, elles doivent mettre en oeuvre des procédures pour révoquer immédiatement l'accès physique d'une personne en cas de départ. Il leur faut revoir leurs procédures actuelles dans ces domaines et les mettre à niveau si nécessaire.

Les entreprises doivent prendre le temps de planifier des méthodes d'inventaire, de formation et d'inspection pour s'assurer qu'elles seront prêtes à se mettre en conformité l'année prochaine

L'exigence 9.9 sera encore plus contraignante en termes de sécurité physique. Cette nouvelle exigence couvre la sécurité physique des terminaux de lecture de cartes de paiement qui sont utilisés dans les transactions avec carte dans les points de vente. L'entreprise doit tenir la liste complète de ces périphériques (sans oublier les numéros de série) et effectuer une inspection périodique de ces terminaux pour s'assurer qu'ils n'ont pas été trafiqués ou échangés. Le personnel qui travaille avec ces terminaux doit recevoir une formation visant à limiter le risque de manipulation frauduleuse.

Les entreprises qui possèdent un grand nombre de terminaux de lecture peuvent avoir plus de difficultés à se mettre en conformité avec l'exigence 9.9, surtout si ces appareils sont dispersés géographiquement. Elles doivent prendre le temps de planifier des méthodes d'inventaire, de formation et d'inspection pour s'assurer qu'elles seront prêtes à se mettre en conformité l'année prochaine.

Conclusion

Les entreprises qui estiment que les tâches nécessaires à leur mise en conformité avec la révision PCI DSS 3.0 sont tout simplement trop nombreuses peuvent se consoler : le délai de mise en conformité avec une partie des contrôles PCI DSS 3.0 a été repoussé.

Ces contrôles, qui comprennent les nouvelles exigences en matière de tests d'intrusion de la section 11.3 et celles concernant la sécurité physique des terminaux de la section 9.9, sont actuellement considérés comme des pratiques recommandées et ne deviendront obligatoires que le 1er juillet 2015.

Pour approfondir sur Réglementations et Souveraineté