PCI DSS

Aperçu

Le Payment Card Industry Data Security Standard (PCI DSS) est un standard de sécurité créé par le Payment Card Industry Security Standards Council (PCI SSC), qui inclut Visa, MasterCard, American Express, Discover et JCB. Il impose des exigences de sécurité pour toute organisation qui stocke, traite ou transmet des données de titulaires de cartes.

Le PCI DSS est obligatoire pour toute entité gérant des transactions par carte de crédit. La non-conformité peut entraîner des amendes, la perte de la capacité à traiter les paiements et des poursuites judiciaires.

Exigences (12 exigences principales)

|| # | Exigence | Description | ||—|————-|————-| || 1 | Installer et maintenir des contrôles de sécurité réseau | Configuration du pare-feu pour protéger les données des titulaires de cartes | || 2 | Ne pas utiliser les paramètres par défaut du fournisseur | Changer les mots de passe et paramètres de sécurité par défaut | || 3 | Protéger les données des titulaires de cartes stockées | Chiffrer les données stockées ; minimiser la rétention des données | || 4 | Chiffrer la transmission des données des titulaires de cartes | Cryptographie forte pour les données en transit sur des réseaux ouverts | || 5 | Se protéger contre les logiciels malveillants | Installer et maintenir un logiciel antivirus ; mettre à jour régulièrement | || 6 | Développer et maintenir des systèmes et applications sécurisés | Pratiques de développement logiciel sécurisé | || 7 | Restreindre l’accès aux données des titulaires de cartes | Principe du besoin de connaître ; identifiants uniques pour chaque personne | || 8 | Identifier les utilisateurs et authentifier l’accès | Authentification forte (MFA requis depuis 2022) | || 9 | Restreindre l’accès physique aux données des titulaires de cartes | Contrôles de sécurité physique pour les installations et les supports | || 10 | Journaliser et surveiller tous les accès | Trajets d’audit pour tout accès aux ressources réseau et aux données des titulaires de cartes | || 11 | Tester régulièrement la sécurité des systèmes et réseaux | Analyse des vulnérabilités, tests de pénétration, surveillance réseau | || 12 | Maintenir une politique de sécurité de l’information | Politique de sécurité annuelle pour tout le personnel |

Niveaux de conformité

|| Niveau | Critères | Exigences | ||——-|———-|————–| || Niveau 1 | >6M transactions/an | ROC annuel par QSA + analyse réseau trimestrielle | || Niveau 2 | 1M-6M transactions/an | Auto-évaluation (SAQ) + analyse trimestrielle | || Niveau 3 | 20k-1M transactions de commerce électronique/an | SAQ + analyse trimestrielle | || Niveau 4 | <20k transactions de commerce électronique/an | SAQ + analyse trimestrielle |

Concepts clés

  • SAQ (Self-Assessment Questionnaire) — évaluation de conformité simplifiée pour les commerçants à faible volume
  • ROC (Report on Compliance) — évaluation approfondie menée par un Qualified Security Assessor (QSA)
  • ASV (Approved Scanning Vendor) — fournisseur approuvé par le PCI pour les analyses de vulnérabilités trimestrielles
  • Chiffrement — les données des titulaires de cartes doivent être chiffrées au repos et en transit avec une cryptographie forte

Relation avec d’autres cadres

  • ISO 27001 — ISO fournit un SMSI plus large ; le PCI DSS est spécifique aux paiements
  • NIST CSF — Le NIST CSF peut guider la mise en œuvre du PCI DSS
  • technologies/security-frameworks/iso-27001.md | ISO 27001 — gestion de la sécurité de l’information plus large
  • technologies/security-frameworks/nist-csf.md | NIST Cybersecurity Framework — directives de gestion des risques