Acheter un latte à votre café local avec votre carte de crédit prend quelques secondes.

Mais il fut un temps où les lecteurs de cartes n'existaient pas et où les entreprises devaient appeler les compagnies de cartes de crédit pour vérifier les informations de votre carte. Au moment où votre transaction était approuvée, votre café était froid et votre patience mise à l'épreuve.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est en partie l'une des raisons du processus simplifié et plus sécurisé actuel d'utilisation des cartes pour effectuer des transactions.

Le PCI DSS est né de la nécessité d'une norme internationale uniforme pour sécuriser les transactions par carte à la fois pour l'entreprise et pour le client.

Ci-dessous, nous examinons l'histoire du PCI, ce qui a inspiré sa création et l'avenir de la conformité PCI.

Bien que le PCI DSS soit une norme bien connue pour quiconque impliqué dans les transactions par carte, il a parcouru un long chemin depuis ses débuts au début des années 2000. Ci-dessous, nous explorons ce qui a conduit au PCI DSS et comment il a évolué.

Qu'est-ce que le PCI DSS ?

La norme de sécurité des données de l'industrie des cartes de paiement (ou PCI DSS) établit des directives de sécurité pour les entreprises qui stockent, traitent et transmettent les données des titulaires de cartes. La conformité au PCI DSS est requise pour tout commerçant ou fournisseur de services qui traite des transactions par carte et des données de titulaires de carte.

La conformité au PCI DSS signifie respecter 12 exigences impliquant des mesures de sécurité réseau et des contrôles de sécurité internes, comme restreindre l'accès des utilisateurs aux données des titulaires de carte et maintenir des politiques de sécurité.

Qui a développé le PCI ?

Les membres fondateurs du PCI sont American Express, Discover Financial Services, JCB International, Mastercard et Visa. Ensemble, ces cinq membres constituent le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC).

Quand le PCI DSS a-t-il été introduit ?

Le PCI DSS a été introduit pour la première fois en décembre 2004. Avant cela, Visa a été la première grande société de cartes de paiement à établir en 2001 son propre ensemble de normes de sécurité pour les entreprises acceptant des paiements en ligne.

D'autres entreprises de paiement ont suivi le mouvement, mais chaque entreprise de paiement a commencé à exiger leurs propres normes de sécurité. Les commerçants peinaient à se conformer aux exigences nécessaires pour accepter plusieurs marques de cartes de paiement.

Les membres fondateurs du PCI SSC se sont réunis pour établir une manière uniforme de réglementer la sécurité des paiements parmi les commerçants et les prestataires de services. Cela a conduit à la première itération du PCI DSS, qui a été nommée PCI DSS 1.0.

Pourquoi le PCI a-t-il été développé ?

Le PCI a été développé en raison de l'introduction du shopping en ligne et de la fraude croissante par carte de crédit à la fin des années 1990 et au début des années 2000.

Alors que les petites entreprises et les grandes entreprises se précipitaient pour ouvrir des sites de shopping en ligne, la sécurité des paiements n'était souvent pas une priorité. L'absence de mesures de sécurité qui sont courantes sur les sites de commerce électronique aujourd'hui, telles que l'utilisation de pare-feu et le cryptage des données des détenteurs de cartes, n'étaient pas bien connues ni comprises au début des années 2000.

Selon CyberSource, rien qu'en l'an 2000, les commerçants en ligne nord-américains ont perdu en moyenne 3,6% de leurs ventes à cause des cartes de crédit volées ou frauduleuses.

Avec les entreprises et les compagnies de cartes de paiement ressentant l'impact de la fraude par carte de crédit en ligne, des géants de l'industrie tels que Visa, Mastercard et American Express se sont réunis pour créer une norme de sécurité mondiale qui protégerait les paiements par carte et encouragerait des pratiques de données des détenteurs de cartes plus sûres.

Une chronologie du PCI

Depuis la première version du PCI DSS 1.0 jusqu'à aujourd'hui, la norme internationale a évolué pour suivre l'état du commerce électronique et des menaces cybernétiques plus sophistiquées.

Ci-dessous, nous plongeons dans la chronologie du PCI DSS depuis sa création et jetons un œil à ce qui est à venir.

• Décembre 2004 : PCI DSS 1.0 est introduit.
• Septembre 2006 : PCI DSS v1.1 exige des pare-feu pour les applications web et que le code des applications personnalisées soit examiné professionnellement.
• Octobre 2008 : PCI DSS v1.2 inclut de nouveaux logiciels antivirus et des exigences de défense des réseaux sans fil.
• Août 2009 : PCI DSS v1.2.1 fournit de la clarté et de la cohérence parmi les normes et la documentation.
• Octobre 2010 : PCI DSS v2.0 introduit des directives de cryptage des données et des restrictions d'accès des utilisateurs.
• Novembre 2013 : PCI DSS v3.0 fournit des informations sur les technologies émergentes basées sur le cloud et des lignes directrices sur les tests de pénétration.
• Avril 2015 : PCI DSS v3.1 fournit une mise à jour à court terme pour permettre aux commerçants et aux prestataires de services de réaliser des mises à jour de conformité pour se préparer au PCI DSS v3.2.
• Avril 2016 : PCI DSS v3.2 introduit des directives sur l'authentification multi-facteurs (MFA) et les analyses internes et externes.
• Mai 2018 : PCI DSS v3.2.1 fournit des clarifications et révise certaines des exigences standard du PCI DSS 1.0 original.
• Mars 2022 : PCI DSS v4.0 inclut des exigences MFA étendues, des rôles et responsabilités clairement définis pour chaque exigence, et de nouvelles exigences en matière de commerce électronique et de phishing pour répondre aux menaces persistantes. 
• Mars 2024 : PCI DSS v3.2.1 sera retiré et remplacé par la v4.0.* 
• Mars 2025 : Les exigences futures de PCI DSS v4.0 entreront officiellement en vigueur.*

*Remarque : Ces dates sont basées sur les prévisions du PCI SSC et peuvent être sujettes à des changements.

Normes supplémentaires PCI SSC

Au fil des ans, le PCI SSC a publié des normes supplémentaires qui couvrent des aspects de la sécurité des détenteurs de cartes non inclus dans le PCI DSS. 

Norme de sécurité des données des applications de paiement (PA-DSS)

PA-DSS a été créé pour fournir des directives de sécurité qui aident les entreprises comme les fournisseurs de logiciels à développer des applications de paiement conformes pour les commerçants et les prestataires de services. 

Contrairement au PCI DSS qui exige la conformité de chaque entreprise qui stocke, traite et transmet des données de titulaires de carte, le PA-DSS ne s'applique qu'aux entreprises qui fabriquent et vendent des applications de paiement. 

Le PCI SSC a annoncé que PA-DSS sera retiré en octobre 2022 et remplacé par le PCI Software Security Framework (SSF). Ce cadre mettra davantage l'accent sur les pratiques de sécurité entourant les logiciels de transaction de cartes. 

Sécurité des transactions par code PIN de l'industrie des cartes de paiement (PCI PTS)

Les dispositifs de sécurité des transactions par code PIN (PTS) sont utilisés au point d'interaction (POI) pour capturer les données des détenteurs de cartes et valider l'approbation de l'utilisation pendant la transaction.

PCI PTS définit les exigences auxquelles les produits des fournisseurs sont évalués pour obtenir l'approbation des dispositifs POI. 

Les normes PCI PTS sont mises à jour tous les trois ans. Au cours de ces cycles, les dispositifs PTS sont soumis à des laboratoires tiers pour évaluation conformément aux exigences actuelles de PCI PTS. Une fois approuvée, une lettre d'approbation (LOA) est délivrée pour prouver la conformité à la version actuelle de PCI PTS. 

Norme de chiffrement point à point de l'industrie des cartes de paiement (PCI P2PE)

Cette norme définit les exigences sur la manière dont les entreprises doivent chiffrer de manière sécurisée les données des détenteurs de cartes et gérer les dispositifs de chiffrement et de déchiffrement.

Comment le PCI a évolué

Depuis son introduction en 2004, le PCI DSS a évolué pour inclure de nombreuses mises à jour qui évoluent avec les avancées technologiques et de sécurité telles que les pare-feux et les logiciels antivirus. 

Les mises à jour du PCI DSS ont également mis en avant l'importance de la conformité PCI, en mettant un accent particulier sur les pratiques de sécurité interne et la formation à la sensibilisation à la sécurité pour les employés. 

Le PCI SSC est en train de mettre à jour une nouvelle version — PCI DSS v4.0 — qui devrait entrer en vigueur au premier trimestre de 2024. Cependant, certaines des nouvelles exigences ne deviendront obligatoires que le 31 mars 2025. 

La nouvelle norme a été officiellement publiée le 31 mars 2022 et donnera aux commerçants et prestataires de services le temps nécessaire pour apporter les ajustements nécessaires jusqu'à ce que la version actuelle (PCI DSS v3.2.1) soit retirée le 31 mars 2024.

PCI DSS v4.0 comprend une variété de changements visant à suivre les menaces et technologies émergentes. Les changements notables incluent :

• Mise à jour des exigences de mot de passe
• Exigences accrues en matière d'authentification multifacteur (MFA)
• Définition claire des rôles et responsabilités pour chaque exigence
• Nouvelles exigences en matière de commerce électronique et de phishing pour aborder les menaces continues

Tout comme l'histoire du PCI le montre, l'avenir de la conformité continuera d'évoluer avec les nouvelles technologies et options de paiement.

Des entreprises comme Secureframe peuvent aider à garantir que votre entreprise reste à jour avec les dernières versions du PCI DSS.

Avec des experts PCI DSS en interne, vous serez alerté de toute mise à jour du PCI SSC pouvant vous concerner. La collecte automatique de preuves de Secureframe enverra des alertes en temps réel pour toute non-conformité afin que vous puissiez maintenir la conformité PCI avec moins de stress pour votre équipe.

Demandez une démo dès aujourd'hui pour voir comment Secureframe peut vous aider à obtenir et maintenir la conformité PCI pour les années à venir.