Le PCI Security Standards Council, l’organisation fondée par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa inc, a publié le 7 novembre les mises à jour des normes PCI-DSS et PA-DSS qui devront s’appliquer dés le mois de janvier 2015.

Le PCI Security Standards Council (PCI SSC) qui rassemble les principaux émetteurs de cartes de paiement et œuvre pour la sécurité des transactions, a publié au début du mois derniers les nouveaux principes qui définissent le PCI Data Security Standard (PCI DSS) et le Payment Application Data Security Standard (PA-DSS). Les principales modifications prises en compte dans cette version 3.0 de la norme de sécurité des données (PCI DSS) et de la norme de sécurité des données d’application de paiement (PA-DSS) sont destinées à améliorer leur adoption par les entreprises dans leurs activités commerciales quotidiennes. Elles sont de ce fait plus souples et mettront l’accent sur la formation, la sensibilisation et la co-responsabilité en matière de sécurité. Ce long document illustre l’engagement du Conseil à fournir tous les renseignements nécessaires pour accompagner le processus de mise en œuvre de la sécurité PCI et éviter ainsi aux entreprises tout imprévu dans leurs travaux de planification.

Ces modifications qui ont lieu tous les trois ans reflètent les commentaires et les appréciations des membres internationaux du Conseil concernant le cycle de développement des normes PCI DSS et PA-DSS et l’évolution des besoins du marché. Les principales motivations de la mise à jour 3.0 sont notamment : les lacunes constatées en matière de formation et de sensibilisation des acteurs, la fragilité des mots de passe et des processus d’authentification, les problèmes de sécurité liés aux tiers, la lenteur de la détection automatique des logiciels malveillants et autres « malwares » et l’incohérence des évaluations. « La plupart des utilisateurs comprennent bien la norme PCI DSS et son importance pour la sécurisation des données enregistrées par les cartes, mais la mise en œuvre et la maintenance opérationnelle de la norme demeurent difficiles, en particulier du fait de la complexité croissante des environnements commerciaux et technologiques », reconnaît Bob Russo, directeur général de PCI SSC. « Le défi que nous devons relever est d’atteindre le juste équilibre entre souplesse, rigueur et  uniformisation des normes tout en assurant la sécurité des paiements. C’est l’objectif de cette version 3.0 ».

Voici les principales recommandations prises en compte lors de la session finale de mise à jour et désormais incluses dans la version 3.0 de PCI-DSS :

–        Evaluer régulièrement la menace de logiciels malveillants y compris pour les systèmes qui ne sont pas considérés comme fréquemment touchés,

–        Combiner la complexité du mot de passe avec l’exigence de résistance, puis introduire une flexibilité accrue pour les solutions de rechange,

–        Les fournisseurs de services ne doivent utiliser qu’une seule information d’authentification par client pour accéder à leur site,

–        En cas d’utilisation de mécanismes d’authentification de type jetons physique ou logique, cartes à puce, certificats, s’assurer qu’ils sont bien associés à un compte individuel et que seuls les utilisateurs agréés peuvent y avoir accès,

–        Contrôler l’accès des personnels locaux aux zones sensibles par une autorisation d’accès qui sera détruite après usage,

–        Protéger les appareils recueillant les données de paiement par interaction physique directe avec la carte de toute falsification et substitution,

–        Mettre en œuvre une méthodologie de tests de pénétration ; si la segmentation est utilisée pour isoler les données du porteur de carte des réseaux, effectuer des tests de pénétration pour vérifier que les méthodes de segmentation sont opérationnelles et efficaces,

–        Mettre en œuvre un processus visant à répondre à toutes les alertes générées par le mécanisme de détection des changements,

–        Faire connaître qu’elles sont les exigences PCI DSS gérées par chaque fournisseur de services, et qu’elles sont celles gérées par l’entité,

–        Les fournisseurs de services doivent fournir l’autorisation écrite, l’accord, l’acquittement de leurs clients comme spécifié à l’alinéa 12.8.2.

Les nouvelles exigences pour la sécurité des données d’application de paiement (PA-DSS) sont :

–        Les développeurs d’applications de paiement doivent vérifier l’intégrité du code source pendant le processus de développement,

–        Lles applications de paiement  seront développés selon les meilleures pratiques de l’industrie concernant les techniques de codage sécurisé,

–        Les fournisseurs d’applications de paiement devront intégrer la méthodologie des versions pour chaque demande de paiement,

–        Les fournisseurs d’applications de paiement devront intégrer les techniques d’évaluation des risques dans leur processus de développement logiciel,

–        Les fournisseurs d’application devront fournir la nomenclature de version pour toute mise à jour d’application,

–        Les fournisseurs de services ayant accès à distance aux locaux du client (pour fournir du soutien ou de la maintenance par exemple) devront utiliser des informations d’identification uniques pour chaque client,

–        Fournir de la formation sur la sécurité des données et le process PA-DSS au personnel ayant une responsabilité dans les applications de paiement au moins une fois par an.

Ces versions 3.0 de PCI-DSS et PA-DSS ont pour objet d’aider les entreprises à intégrer la sécurité de leurs paiements dans leurs activités de tous les jours grâce à plus de flexibilité, plus de formation de leur personnel, plus de vigilance et plus de responsabilité partagée. PCI-DSS 3.0 a été spécialement conçu pour « accompagner les organisations dans la sensibilisation des porteurs de cartes en mettant l’accent sur la sécurisation de leurs données plutôt que sur les problématiques de conformité ».

Rappelons que le Payment Card Industry Data Security Standard (PCI DSS) est une norme de sécurité des données personnelles utilisées pour les paiements par carte bancaire, standard porté par les principaux éditeurs de carte et qui s’édicte au travers d’une douzaine de règles qui aident les entreprises utilisatrices à protéger leurs données et à prévenir les fraudes.

Le Payment Application Data Security Standard (PA-DSS) est un programme qui définit les meilleures pratiques concernant les applications de paiement. Son but est d’aider les fournisseurs de logiciels et autres à développer des applications de paiement sécurisées qui ne mémorisent pas de données « interdites » (les informations contenues dans les bandes magnétiques, les codes de sécurité CVV2 ou les données de NIP pour les transmissions sécurisées) et à s’assurer que ces applications sont conformes aux règles du PCI DSS.