Le compte à rebours commence : étapes pour adopter la norme PCI-DSS v4.0 d'ici 2024

Par John Leyden • 26 octobre 2023

Les changements à venir dans la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) imposeront des exigences de sécurité plus strictes à toutes les entreprises qui traitent les données des titulaires de cartes.

PCI DSS la conformité est requise pour tous les commerçants qui acceptent les paiements par carte de crédit. Tous les commerçants doivent respecter des niveaux minimum de sécurité lorsqu'ils stockent, traitent et transmettent les données des titulaires de carte. Les organisations qui gèrent un plus grand volume de transactions sont soumises à des exigences plus strictes, notamment à des audits de sécurité externes.

Le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) administre la norme et les principales marques de cartes de crédit, dont Visa et Mastercard, imposent son utilisation.

A révision importante de la norme PCI-DSS v4, vise à répondre aux menaces émergentes et aux besoins changeants en matière de sécurité du secteur des paiements. La norme fournit une base d'exigences techniques et opérationnelles conçues collectivement pour protéger les données des comptes.

PCI-DSS v4 arrive

La norme PCI DSS v4.0 comprend 12 exigences organisées en six catégories, notamment :

Accent accru sur la sécurité en tant que processus continu
Plus de flexibilité dans la manière dont les organisations peuvent atteindre leurs objectifs de sécurité
De nouvelles exigences pour les fournisseurs de services, notamment l'utilisation de l'authentification multifacteur et la mise en œuvre d'une architecture zéro confiance
Exigences révisées pour le développement de logiciels, y compris des pratiques de codage sécurisées et l'utilisation d'outils automatisés pour l'analyse des vulnérabilités et les tests d'intrusion
Des règles plus strictes pour la gestion des mots de passe, notamment l'utilisation de phrases secrètes et l'interdiction de certains types de mots de passe
Encourager un chiffrement plus systématique et plus efficace, notamment en soutenant l'introduction d'une cryptographie à sécurité quantique

Les 12 contrôles de PCI DSS 4.0 sont essentiellement similaires à la version 3.2.1. La norme PCI DSS v3.2.1 est dépréciée parce qu'elle n'a pas réussi à suivre le rythme des évolutions du secteur et des tactiques cybercriminelles.

Alors que les versions précédentes du cadre étaient prescriptives (déployer des pare-feu, appliquer des contrôles antivirus, etc.), PCI DSS 4.0 vise à soutenir des efforts plus complets des organisations pour améliorer leur maturité en matière de sécurité.

Bien que certains changements soient évolutifs – comme le remplacement de l’exigence d’un logiciel antivirus par une solution anti-malware ou la modification des exigences réseau pour refléter la différence entre les architectures cloud et les architectures de réseau physique – d’autres sont plus substantiels. Par exemple, les organisations doivent déployer une authentification multifacteur pour accéder à l'environnement des données des titulaires de cartes.

Conscient de la menace accrue de attaques de la chaîne d'approvisionnement, les commerçants en ligne seront également invités à maintenir un inventaire de logiciels, comprenant des bibliothèques et des composants. De plus, le cadre nécessite une protection contre les attaques d'écrémage du commerce électronique en gérant et en détectant activement les modifications apportées au JavaScript sur la page de paiement.

PCI-DSS v4 met également l'accent sur la sensibilisation des employés aux risques de sécurité et aux meilleures pratiques.

Luke Dash, PDG d'ISMS.online, a commenté : « La conformité PCI n'est pas seulement une case à cocher ; c'est un engagement envers vos clients – une promesse de sécurité, de transparence et de relations commerciales durables.

Joseph Carson, scientifique en chef de la sécurité et RSSI consultatif chez Delina, a ajouté : « PCI-DSS v4 a placé la barre plus haut et normes de cybersécurité dans le secteur des cartes de paiement, n’étant plus seulement une case à cocher, mais un programme continu de cybersécurité.

Carson a poursuivi : « Des contrôles stricts liés à la sécurité d'accès, y compris l'authentification multifacteur, la sécurité des accès privilégiés, la sécurité des mots de passe et des normes améliorées en matière de phishing, impliquent que le prochain audit PCI sera plus important que n'importe quel audit précédent. Il faudra probablement beaucoup plus de préparation et de ressources pour garantir que les exigences soient respectées.

Date limite de conformité PCI-DSS v4

Les organisations ont jusqu'au 31 mars 2024 pour transition de PCI DSS v3.2.1 vers v4.0 – avec un délai de 18 mois pour parvenir à une conformité totale d’ici mars 2025.

As indiqué précédemment, la nouvelle version de la norme met davantage l'accent sur la sécurisation des applications de paiement de commerce électronique, la protection contre les attaques de type Magecart et la mise en œuvre de pratiques de codage sécurisées.

Le cadre révisé met l’accent sur la sauvegarde des transactions et l’instauration de la confiance.

John Elliott, conseiller en sécurité chez Jscrambler, fournisseur d'outils de sécurité, a déclaré : « Le principal défi sera de mettre en œuvre les 51 nouvelles exigences qui entreront en vigueur en avril 2025. Certaines d'entre elles peuvent nécessiter un changement dans les processus métier et nécessiteront l'acquisition de nouvelles technologies ou de nouvelles exigences. solutions.

« Certaines – comme l’authentification multifacteur (MFA) pour tous les accès – que vous avez peut-être déjà mises en œuvre dans le cadre de vos mises à niveau de sécurité BAU [business as habituel], mais d’autres, comme les exigences spécifiques pour arrêter les attaques d’écrémage du commerce électronique, prendront du temps. du temps et de la technologie pour satisfaire », a ajouté Elliott.

Richard Orange, vice-président EMEA d'Exabeam, a ajouté : « La norme mise à jour met l'accent sur une segmentation efficace du réseau. Il encourage les entreprises à mettre en œuvre des mesures d'isolement pour empêcher la compromission des données sensibles et à adopter une approche de confiance zéro en matière de sécurité du réseau. Les entreprises doivent suivre les directives de codage sécurisé, effectuer régulièrement des révisions de code et des analyses de vulnérabilité, et garantir une configuration sécurisée des applications.

Gestion des projets de conformité PCI

La préparation proactive de la norme PCI-DSS v4 donnera aux entreprises suffisamment de temps pour résoudre les problèmes potentiels, évitant ainsi le besoin de solutions d'urgence coûteuses de dernière minute.

Dash d'ISMS.online a commenté : « La préparation précoce de PCI-DSS v4 permet une mise en œuvre échelonnée, en répartissant les coûts et en réduisant les perturbations opérationnelles. »

Orange d'Exabeam a commenté : « Les petites entreprises peuvent avoir du mal à se conformer aux exigences plus strictes de la norme PCI-DSS v4. L’accent accru mis sur le chiffrement, la segmentation des réseaux et l’authentification multifacteur (MFA) pourrait nécessiter des investissements supplémentaires en ressources et en technologie, ce qui pourrait peser sur les budgets, en particulier pour les entreprises qui ont déjà dû se serrer la ceinture depuis la pandémie.

"En revanche, les grandes entreprises dotées de mesures de sécurité robustes pourraient avoir plus de facilité à s'adapter aux nouveaux changements", a-t-il ajouté.

Malgré ces défis, « la conformité à la norme PCI-DSS v4 peut améliorer la sécurité globale et réduire le risque de violations de données, entraînant des pertes financières, des atteintes à la réputation et des responsabilités juridiques », a conclu Orange d'Exabeam.

La mise en œuvre de la norme peut également améliorer la confiance des clients, démontrant ainsi leur engagement à protéger les informations sensibles des titulaires de carte.

Donnie MacColl, directeur principal du support technique et DPO chez Fortra, un fournisseur de cybersécurité, a expliqué que les changements apportés par PCI DSS v4 n'auront pas un impact de la même manière sur toutes les entreprises.

"Il existe quatre niveaux distincts de conformité requis par les organisations individuelles, qui sont basés sur le volume des transactions sur une période de 12 mois", a déclaré MacColl à ISMS.online.

Par exemple, les organisations ayant un niveau de conformité inférieur (niveaux 2 à 4) n’ont pas besoin d’un audit externe mais peuvent à la place remplir un questionnaire d’auto-évaluation. En revanche, si une entreprise traite plus de six millions de transactions par carte par an, elle doit démontrer une conformité de niveau 1, un processus impliquant un audit externe réalisé par un évaluateur de sécurité qualifié.

MacColl a conclu : « Quelle que soit la taille de l'organisation, une transition efficace vers PCI DSS 4.0 nécessite une approche qui prend en compte les changements techniques et culturels. Il ne s’agit pas d’un effort unique. Cela nécessitera une approche progressive au fil du temps.

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

Confidentialité des données 22 Août 2024

les entreprises sont invitées à suivre la réglementation sur l'IA « à évolution rapide »

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

L'intelligence artificielle (IA) transforme le secteur des technologies de l'information à une vitesse vertigineuse. Elle a transformé des applications, notamment la gestion des données…

John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 28 mai 2024

décoder les nouvelles directives du ncsc pour la bannière scada hébergée dans le cloud

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui exécutent tout, des centrales électriques aux hôpitaux intelligents...

John Leyden

Le compte à rebours commence : étapes pour adopter la norme PCI-DSS v4.0 d'ici 2024

Les changements à venir dans la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) imposeront des exigences de sécurité plus strictes à toutes les entreprises qui traitent les données des titulaires de cartes.

PCI-DSS v4 arrive

Date limite de conformité PCI-DSS v4

Gestion des projets de conformité PCI

John Leyden

Articles connexes

Plus que des cases à cocher : pourquoi les normes sont désormais un impératif commercial

L'examen de la sphère de sécurité signifie que les activités se poursuivent comme d'habitude – pour l'instant

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Lire la suite de John Leyden

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud