Liste de contrôle de conformité PCI : Comment se conformer en 2024
Un examen rapide des plus de 300 contrôles, 12 exigences et six objectifs de contrôle du PCI DSS rendra une chose très claire : la conformité PCI n'est pas une promenade de santé.
Pour rendre le processus un peu plus facile, nous avons créé une liste de contrôle qui passe en revue chacune des 12 exigences et met en évidence les étapes clés de la politique, du processus et de la mise en œuvre.
Notre liste de contrôle vous aidera à cocher autant de ces tâches que possible avant de commencer le processus formel de conformité PCI DSS.
Plongeons-nous.
Rappel rapide : Qu'est-ce que la conformité PCI ?
PCI DSS, qui signifie Payment Card Industry Data Security Standard, est imposé par les principales sociétés de cartes de crédit pour standardiser la protection des données de compte. PCI fournit des directives claires sur la manière de capturer, traiter et stocker ces données sensibles.
La conformité PCI est requise pour toute entreprise qui traite, stocke, transmet ou impacte la sécurité des données de détenteurs de cartes et/ou des données d'authentification sensibles.
Il existe différents niveaux de conformité qui correspondent au nombre de transactions de cartes que vous traitez au cours de l'année ou simplement en fonction du risque. Plus vous traitez de transactions par carte ou plus votre niveau de risque est élevé, plus votre processus d'audit de conformité PCI sera rigoureux.
Le non-respect peut entraîner des amendes et des pénalités, une probabilité accrue de violations de données et la perte de la licence de marchand ou de la capacité à travailler avec des processeurs de paiement.
Le Conseil des normes de sécurité PCI (PCI SSC) crée et met à jour la norme PCI DSS dans le cadre d'un effort continu pour encourager et améliorer la sécurité des données de comptes de paiement et faciliter l'adoption généralisée de mesures de sécurité des données cohérentes dans le monde entier. PCI v4.0.1 est la dernière version de la norme.
Le guide ultime de PCI DSS
Découvrez tout ce que vous devez savoir sur les exigences, le processus et les coûts pour obtenir la certification PCI.
4 étapes clés pour respecter le PCI DSS
La conformité PCI DSS est un processus continu qui peut être décomposé en une série d'étapes continues :
- Évaluation des écarts — En utilisant l'outil d'approche prioritaire PCI DSS, la plateforme Secureframe ou un consultant — ou une combinaison des trois — identifiez la portée de votre environnement et de votre évaluation PCI DSS, inventoriez tous les emplacements de stockage des données de compte, des logiciels et de l'infrastructure, et commencez à examiner la mise en œuvre des exigences et des objectifs du PCI DSS.
- Audit — Si votre organisation nécessite un audit par une QSA tierce, la planification et la préparation de l'audit constitue la prochaine étape. Secureframe dispose d'une liste de partenaires qualifiés et peut vous aider à les rencontrer si votre organisation n'a pas encore engagé de cabinet QSA.
- Apurement — Corrigez les vulnérabilités ou non-conformités identifiées lors de la phase d'audit et d'évaluation des écarts. Cela peut impliquer le patching des logiciels, la mise à jour des règles de firewall, la suppression sécurisée des données de compte inutiles ou la mise en œuvre de processus commerciaux sécurisés.
- Rapport — L'auditeur rédigera alors un rapport de conformité ou, si vous attestez vous-même, vous utiliserez le modèle sur le site Web PCI SSC pour attester de votre propre conformité PCI DSS. Vous pouvez ensuite utiliser une attestation de conformité pour partager votre conformité PCI DSS avec les clients ou les agences requérantes.
Se conformer aux exigences techniques et opérationnelles de PCI DSS peut aider à atténuer les vulnérabilités et à protéger les données des titulaires de carte et/ou les données d'authentification sensibles où qu'elles soient traitées, stockées ou transmises. Explorons ces exigences ci-dessous.
Les 12 exigences PCI DSS
La norme PCI DSS comprend 6 objectifs et 12 exigences principales avec des sous-exigences précisant spécifiquement quels contrôles doivent être en place. Les exigences sont un mélange de contrôles techniques et opérationnels conçus pour protéger les données des comptes.
Chaque exigence de conformité PCI correspond à l'un des six objectifs spécifiques, à savoir :
Chaque exigence correspond à l'un des six objectifs spécifiques du PCI DSS, à savoir :
- Construire et maintenir un réseau sécurisé
- Protéger les données des titulaires de carte
- Maintenir un programme de gestion des vulnérabilités
- Mettre en place des mesures de contrôle d'accès strictes
- Surveiller et tester régulièrement les réseaux
- Maintenir une politique de sécurité de l'information
. Les objectifs et les exigences sont listés dans l'image ci-dessous.
Lorsqu'une entreprise peut attester que toutes les exigences applicables à leur environnement sont remplies, elle est considérée comme conforme au PCI.
Voici un bref aperçu de chaque exigence.
1. Installer et maintenir des contrôles de sécurité réseau
Les organisations doivent établir et maintenir des contrôles de sécurité réseau (NSC) pour contrôler le trafic au sein de leur réseau — notamment l'environnement des données des titulaires de carte (CDE) — et protéger leurs systèmes et données de l'exposition à des réseaux non fiabilisés comme Internet. Auparavant, les organisations se fiaient principalement aux pare-feu physiques pour prévenir les accès non autorisés. Désormais, elles utilisent des dispositifs virtuels, des contrôles d'accès au cloud, des systèmes de virtualisation/conteneurs, des routeurs configurés avec des listes de contrôle des accès, et d'autres technologies de réseau définies par logiciel en plus des pare-feu.
2. Appliquer des configurations sécurisées à tous les composants du système
Les individus malveillants utilisent souvent des mots de passe par défaut et autres paramètres par défaut des fournisseurs pour compromettre les systèmes, les organisations doivent appliquer des configurations sécurisées à tous les composants du système pour réduire les risques posés par ces individus. Cela signifie :
- changer les mots de passe par défaut
- supprimer les logiciels, fonctions et comptes inutiles
- désactiver ou supprimer les services inutiles
3. Protéger les données des comptes stockées
Les organisations doivent protéger les données de compte stockées en mettant en œuvre des méthodes de protection robustes telles que le cryptage, la troncature, le masquage et le hachage. Des politiques de conservation et de destruction des données devraient également être en place pour minimiser la durée de stockage et supprimer en toute sécurité les données qui ne sont plus nécessaires.
4. Protéger les données des titulaires de carte avec une cryptographie forte lors de la transmission sur des réseaux ouverts et publics
Les réseaux sans fil mal configurés et les vulnérabilités des anciens protocoles de chiffrement et d'authentification continuent d'être ciblés par des individus malveillants pour obtenir un accès privilégié aux environnements de données des titulaires de carte. Pour se protéger contre les compromissions, les organisations doivent utiliser des protocoles de chiffrement forts lors de la transmission des données des titulaires de carte sur des réseaux ouverts et publics.
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants
Il est essentiel que les organisations utilisent des solutions anti-programmes malveillants pour protéger les systèmes contre tous les types de malwares, tels que :
- virus
- vers
- Trojans
- logiciels espions
- rançongiciels
- enregistreurs de frappe
- rootkits
- code, scripts et liens malveillants
Des mises à jour et des analyses régulières doivent être effectuées pour garantir que les systèmes restent protégés contre les menaces actuelles et évolutives.
6. Développer et maintenir des systèmes et logiciels sécurisés
Les individus malveillants peuvent également exploiter les vulnérabilités de sécurité pour obtenir un accès privilégié aux systèmes.
Pour réduire ce risque, les organisations doivent développer et maintenir des systèmes et logiciels sécurisés en suivant des directives de codage sécurisées et en effectuant des revues de sécurité régulières. Cela inclut l'application rapide des correctifs de sécurité fournis par les fournisseurs pour traiter les vulnérabilités.
7. Réduire l'accès aux composants système et aux données des titulaires de carte selon les besoins
Les pirates peuvent exploiter des règles et des définitions de contrôle d'accès inefficaces pour obtenir un accès non autorisé à des données ou à des systèmes critiques.
Les organisations doivent mettre en place des systèmes et des processus pour limiter l'accès aux systèmes, applications et données en fonction des principes de moindre privilège et de nécessité de savoir. Cela signifie que les individus doivent avoir le minimum de privilèges et accéder à la plus petite quantité de données nécessaire pour accomplir leur travail.
8. Identifier les utilisateurs et authentifier l'accès aux composants système
Les organisations doivent mettre en œuvre des mesures de contrôle d'accès robustes pour garantir que seuls les individus autorisés peuvent accéder aux composants système. Cela comprend l'utilisation de l'authentification multifactorielle et des identifiants uniques pour tous les utilisateurs, la suppression ou la désactivation des comptes d'utilisateurs inactifs et la définition des exigences en matière de mot de passe.
9. Restreindre l'accès physique aux données des titulaires de carte
L'accès physique aux données des titulaires de carte ou aux systèmes qui stockent, traitent ou transmettent ces données doit être restreint pour prévenir tout accès non autorisé. Cela implique de sécuriser les emplacements physiques où les données sont stockées et de s'assurer que l'accès n'est accordé qu'au personnel autorisé.
10. Consigner et surveiller tous les accès aux composants système et aux données des titulaires de carte
Une journalisation et une surveillance complètes de tous les accès aux composants système et aux données des titulaires de carte doivent être en place pour prévenir, détecter ou minimiser l'impact d'une compromission de données. Les journaux doivent être examinés régulièrement pour détecter et répondre aux accès non autorisés ou aux anomalies.
11. Tester régulièrement la sécurité des systèmes et des réseaux
Les vulnérabilités sont continuellement découvertes par des individus malveillants et introduites par de nouveaux logiciels. Les organisations doivent tester régulièrement les systèmes de sécurité, les processus et les logiciels par le biais d'évaluations de vulnérabilités, de tests de pénétration et d'autres méthodes de test de sécurité pour s'assurer que les contrôles de sécurité sont efficaces dans un environnement en évolution et pour identifier et résoudre les nouvelles vulnérabilités.
12. Soutenir la sécurité de l'information avec des politiques et des programmes organisationnels
Un programme de sécurité de l'information solide soutenu par des politiques organisationnelles est crucial pour garantir que tout le personnel soit conscient de la sensibilité des données des titulaires de carte et de leurs responsabilités pour les protéger. Cela nécessite que les organisations :
- maintiennent des politiques de sécurité de l'information et d'utilisation acceptable
- identifient, évaluent et gèrent les risques liés à l'environnement des données des titulaires de carte
- procèdent régulièrement à des programmes de formation et de sensibilisation pour les employés
- gèrent les risques des tiers
Liste de contrôle de la conformité PCI DSS
Nous avons créé une liste de contrôle interactive pour vous aider à démarrer votre parcours de conformité. Bien que notre liste de contrôle ne soit pas exhaustive, elle fournit un point de départ fondamental lors de la préparation à la conformité PCI DSS.
PCI DSS compliance checklist
Install and maintain network security controls
Goal: Build and maintain a secure network and systems
Policy and process requirements:
Implementation requirements:
Apply secure configurations to all system components
Goal: Build and maintain a secure network and systems
Policy and process requirements:
Implementation requirements:
Protect stored account data
Goal: Protect account data
Policy and process requirements:
Implementation requirements:
Protect cardholder data with strong cryptography during transmission over open, public networks
Goal: Protect account data
Policy and process requirements:
Implementation requirements:
Protect all systems and networks from malicious software
Goal: Maintain a vulnerability management program
Policy and process requirements:
Implementation requirements:
Develop and maintain secure systems and software
Goal: Maintain a vulnerability management program
Policy and process requirements:
Implementation requirements:
Restrict access to system components and cardholder data by business need to know
Goal: Implement strong access control measures
Policy and process requirements:
Implementation requirements:
Identify users and authenticate access to system components
Goal: Implement strong access control measures
Policy and process requirements:
Implementation requirements:
Restrict physical access to cardholder data
Goal: Implement strong access control measures
Policy and process requirements:
Implementation requirements:
Log and monitor all access to system components and cardholder data
Goal: Regularly monitor and test networks
Policy and process requirements:
Implementation requirements:
Test security systems and networks regularly
Goal: Regularly monitor and test networks
Policy and process requirements:
Implementation requirements:
Support information security with organizational policies and programs
Goal: Maintain an information security policy
Policy and process requirements:
Implementation requirements:
Pour une copie tangible de la liste de contrôle ci-dessus, vous pouvez télécharger notre liste de contrôle de conformité PCI au format PDF ci-dessous.
Liste de contrôle de conformité PCI
Cette liste de contrôle étape par étape vous guidera tout au long du processus de préparation à la conformité PCI DSS.
Exigences supplémentaires pour les fournisseurs de services et les émetteurs
Il existe des exigences supplémentaires spécifiquement pour les fournisseurs de services et les émetteurs que nous n'avons peut-être pas couvertes dans notre liste de contrôle ci-dessus. Pour voir une liste complète de tout ce qui vous est requis, visitez le site officiel des normes de sécurité PCI.
FAQ
Qu'est-ce qu'une liste de contrôle de conformité PCI DSS ?
Une liste de contrôle de conformité PCI DSS est un outil conçu pour aider une organisation à évaluer sa conformité au cadre PCI DSS et à s'assurer qu'elle a complété les étapes essentielles pour se préparer à un audit réussi. En utilisant la liste de contrôle, les organisations peuvent cocher les cases pour visualiser leur niveau de préparation à l'audit et identifier rapidement les lacunes qu'elles doivent résoudre avant de subir un audit.
Quelles sont les étapes de la conformité PCI DSS?
Les étapes de la conformité PCI DSS incluent la mise en œuvre de contrôles pour répondre aux 12 exigences du PCI DSS, qui spécifient le cadre pour un environnement de paiements sécurisé, et la réalisation soit d'un rapport complet de conformité ou d'un questionnaire d'auto-évaluation pour évaluer si vos contrôles répondent aux 12 exigences. Lors d'une évaluation de l'état de préparation ou de l'évaluation elle-même, un QSA peut documenter les lacunes de vos contrôles et fournir une liste d'éléments de remédiation. Le processus de conformité PCI DSS peut donc être décomposé en trois étapes essentielles : Évaluer, Réparer et Rapporter.
Quelle est la première étape de la conformité PCI DSS?
La première étape de la conformité PCI DSS consiste à déterminer quel niveau de conformité vous avez besoin. Cela dépend de si vous êtes un commerçant ou un prestataire de services et de quelques autres facteurs, notamment la taille de votre organisation, le nombre de transactions annuelles par carte de crédit et les exigences de vos clients ou de la banque acquéreuse. Une fois que vous avez déterminé le niveau PCI DSS vous concernant, vous pouvez mettre en place des politiques, des procédures et des contrôles afin de répondre aux 12 exigences.
Qui administre le PCI DSS?
Le PCI DSS et les normes de sécurité associées sont administrés par le PCI Security Standards Council, qui a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.
Comment Secureframe peut aider à simplifier le processus de conformité PCI DSS
Si la liste de contrôle ci-dessus vous semble intimidante, sachez que vous n'êtes pas obligé de passer seul par le processus de conformité PCI.
Secureframe dispose d'experts PCI qui peuvent vous aider à chaque étape.
En tant que client de Secureframe, vous pouvez contacter votre gestionnaire de conformité pour avoir une discussion approfondie sur votre environnement et votre périmètre actuels afin de déterminer exactement quels contrôles vous sont applicables et comment vous pouvez les mettre en œuvre dans votre environnement pour répondre à la dernière version de PCI DSS.
Vous pouvez ensuite utiliser la plateforme Secureframe pour affecter des propriétaires aux tâches, contrôles et examens, gérer l'achèvement de la formation à la sensibilisation à la sécurité et de l'acceptation des politiques, compléter votre évaluation des risques et remédier aux tests automatisés avec le soutien de nos gestionnaires de conformité. Les gestionnaires de conformité Secureframe peuvent également vous aider à effectuer une évaluation de préparation avant votre audit afin que vous puissiez avoir confiance en votre conformité PCI DSS v 4.0.1 avant que votre auditeur ne réalise l'évaluation réelle.
Enfin, vous pouvez sélectionner l'un de nos QSAs partenaires pour effectuer le travail de terrain directement au sein de la plateforme.
Demander une démonstration pour en savoir plus sur la manière dont notre plateforme d'automatisation de conformité peut rationaliser le processus de conformité PCI.