Portée PCI : comment la définir et la réduire

  • June 07, 2022
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Reviewer

Marc Rubbinaccio

Manager of Compliance at Secureframe

Pour protéger les données des titulaires de carte, vous devez d'abord comprendre tous les aspects de votre entreprise qui concernent la sécurité des données des titulaires de carte. Le processus d'identification de tous ces composants est connu sous le nom de délimitation PCI.

La portée PCI fait référence à toutes les personnes, processus et technologies qui touchent les données des titulaires de carte ou pourraient impacter leur sécurité.

Tout système faisant partie de votre environnement de données des titulaires de carte (CDE) est considéré comme "dans le champ d'application". Plus vous avez de systèmes dans le champ d'application, plus il est difficile de sécuriser et de gérer votre CDE.

Comprendre votre périmètre et le réduire là où vous le pouvez est essentiel pour minimiser le temps et le coût de devenir conforme PCI.

Dans cet article, nous détaillons ce qui rend un système dans ou hors du périmètre et proposons des conseils pour réduire le périmètre afin de simplifier votre processus de conformité.

Quelle est la portée PCI ?

La portée PCI fait référence aux personnes, processus et technologies qui interagissent avec ou impactent la sécurité des données des titulaires de carte. En termes simples, si un aspect de votre entreprise traite, stocke ou transmet des données de détenteurs de carte, il est considéré comme dans le champ d'application.

Avant de vous lancer dans votre parcours de conformité PCI, vous devrez d'abord déterminer le champ d'application de votre entreprise. Pour ce faire, identifiez tous les composants du système qui sont inclus dans ou connectés au CDE. Ces composants doivent être sécurisés selon les exigences applicables de la norme PCI DSS.

Cartographier votre CDE est un excellent point de départ pour déterminer la portée globale. Cependant, il y a plus que cela.

Une délimitation précise selon la norme PCI DSS nécessite également de comprendre comment les données des titulaires de carte circulent dans l'environnement.

Lors de l'exercice de délimitation, qui se déroulera au début de votre parcours de conformité PCI, vous classerez les systèmes en trois catégories : dans le périmètre, hors du périmètre et connectés. Nous expliquons ci-dessous la signification de ces termes.

Le guide ultime de la norme PCI DSS

Découvrez tout ce que vous devez savoir sur les exigences, le processus et les coûts de l'obtention de la certification PCI.

Quand un système est-il considéré comme dans le périmètre ?

Un système est considéré comme dans le périmètre lorsqu'il se connecte, impacte ou est impliqué avec les données des titulaires de carte et leur sécurité.

Une règle empirique pour la délimitation du PCI consiste à considérer que tout est dans le périmètre au début, avant d'exclure systématiquement les composants hors périmètre. Cela permet de s'assurer que vous n'avez oublié aucun système, personne ou processus critique.

Il y a quelques « règles » autour de la délimitation qui s'appliquent dans tous les scénarios :

  • Les systèmes situés dans le CDE sont dans le périmètre, quelle que soit leur fonction ou la raison pour laquelle ils se trouvent dans l'environnement.
  • Les systèmes qui se connectent à un système du CDE sont dans le périmètre, quelle que soit leur fonction ou la raison de leur connexion.

Il existe deux catégories de systèmes considérés comme étant dans le périmètre : les systèmes CDE et les systèmes connectés et ayant un impact sur la sécurité.

Systèmes de l'environnement des données de titulaire de carte

Les composants des systèmes CDE incluent les dispositifs réseau, les serveurs, les dispositifs informatiques et les applications. Ils sont considérés dans le périmètre par le PCI DSS car ils sont directement liés à la sécurité des données des titulaires de carte.

Ces systèmes doivent être évalués par rapport à toutes les exigences pertinentes du PCI DSS. Les contrôles mis en place pour protéger les systèmes dans le périmètre doivent être examinés au moins une fois par an.

Systèmes connectés et ayant un impact sur la sécurité

Les systèmes connectés ou ayant un impact sur la sécurité sont également considérés dans le périmètre. Ces types de systèmes ont un chemin de communication (qu'il soit physique ou logique) vers un ou plusieurs systèmes du CDE.

La mise en œuvre de ces technologies peut être compliquée. Le Conseil des normes de sécurité PCI (PCI SSC) recommande de consulter un expert pour aider à déterminer l'impact potentiel sur la sécurité des systèmes connectés sur votre périmètre.

Quand un système est-il considéré hors périmètre ?

Les systèmes hors périmètre n'ont pas accès à des composants du CDE, ce qui rend inutile la mise en œuvre de contrôles de sécurité PCI.

Les systèmes considérés comme hors périmètre sont également appelés « systèmes non fiables » car il n'y a aucune garantie qu'ils soient suffisamment protégés.

Pour qu'un système soit considéré hors périmètre, il doit répondre à toutes les exigences suivantes :

  • Les composants ne doivent pas stocker, traiter ou transmettre des données de titulaire de carte ou des données d'authentification sensibles (SAD).
  • Ils ne doivent pas partager un segment de réseau, un sous-réseau ou un réseau local virtuel (VLAN) avec des systèmes qui stockent, traitent ou transmettent des données de titulaire de carte ou des SAD.
  • Les composants ne peuvent pas se connecter ou accéder à une partie quelconque du CDE.
  • Ils ne peuvent pas accéder au CDE ni compromettre ses contrôles de sécurité via un système dans le périmètre.
  • Ils ne doivent répondre à aucun critère défini pour les systèmes ou composants de système connectés, ayant un impact sur la sécurité ou étant dans le périmètre.

Si un système ne répond pas à l'une des exigences ci-dessus, il est considéré comme faisant partie du périmètre.

Le fait qu'un système soit considéré hors périmètre ne signifie pas qu'il ne mérite pas de mesures de sécurité. Il est recommandé d'appliquer les meilleures pratiques de sécurité pour protéger vos systèmes et réseaux hors périmètre.

Qu'est-ce que la segmentation ?

Vous vous demandez peut-être s'il y a un moyen de réduire votre périmètre PCI. La réponse est oui. Ce processus est connu sous le nom de segmentation.

La segmentation permet à une entreprise d'appliquer des contrôles de sécurité supplémentaires pour isoler les systèmes qui traitent les données des titulaires de carte de ceux qui ne le font pas. La segmentation est similaire à la construction d'une clôture autour de votre maison. Non seulement elle protège votre famille et votre maison, mais elle empêche également les intrus d'entrer.

La segmentation vous permet de « cloisonner » votre CDE des réseaux hors périmètre. Les méthodes de segmentation courantes incluent les VLAN et les pare-feu.

Lorsqu'elle est correctement mise en œuvre, un réseau hors périmètre compromis n'aura pas d'effet sur votre CDE.

Le PCI SSC encourage les entreprises à utiliser la segmentation pour aider à réduire le coût de la conformité PCI, simplifier le processus de mise en œuvre et de maintenance des contrôles PCI, et réduire le risque organisationnel en consolidant les données des titulaires de carte en des lieux moins nombreux et plus sécurisés.

Sans segmentation (également connue sous le nom de réseau plat), l'ensemble de votre réseau est considéré comme faisant partie du périmètre selon la norme PCI DSS.

Il existe deux types de méthodes de segmentation :

  • Séparation physique isole les systèmes CDE des systèmes hors périmètre avec des dispositifs réseau, des pare-feu ou des serveurs physiquement séparés.
  • Séparation logique isole les systèmes CDE des systèmes hors périmètre en utilisant des pare-feu internes, des routeurs ou d'autres technologies restreignant l'accès à ou depuis un segment de réseau spécifique.

Une entreprise peut décider d'utiliser l'une de ces méthodes de segmentation ou une combinaison des deux.

Comment délimiter votre CDE

Le PCI SSC a publié un guide de délimitation utile en 2016 qui inclut un exercice de délimitation en six étapes pour vous aider à déterminer et à gérer votre périmètre.

1. Identifier tous les canaux de paiement

Commencez par identifier comment et où votre organisation reçoit les données des titulaires de carte. Prenez en compte tout le cycle de vie des données des titulaires de carte, depuis le moment où vous les recevez jusqu'à leur élimination.

2. Cartographier le flux des données des titulaires de carte

Ensuite, documentez comment les données des titulaires de carte circulent dans votre organisation.

Identifiez et documentez également les personnes, processus et technologies impliqués dans le stockage, le traitement ou la transmission des données. Ces personnes, processus et systèmes sont tous considérés comme faisant partie de votre CDE.

3. Identifier les autres systèmes connectés et impactant la sécurité

Examinez vos processus, composants système et personnels ayant la capacité d'interagir ou d'impacter la sécurité des données des titulaires de carte. Ces personnes, processus et technologies sont également considérés comme faisant partie du périmètre.

4. Mettre en œuvre des contrôles pour minimiser le périmètre

Après avoir identifié toutes les personnes, processus et technologies inclus dans le périmètre, commencez à segmenter votre réseau pour limiter les connexions entre les données des titulaires de carte et les systèmes inclus dans le périmètre uniquement à ce qui est nécessaire.

5. Mettre en œuvre toutes les exigences PCI applicables

Après avoir réduit votre périmètre, identifiez et mettez en œuvre les exigences PCI DSS applicables à vos systèmes, processus et personnels inclus dans le périmètre.

6. Maintenir et surveiller votre périmètre

Une fois que les exigences PCI ont été satisfaites pour tous les systèmes inclus dans le périmètre, assurez-vous que les contrôles que vous avez mis en place restent efficaces. Vous devriez également créer un processus pour mettre à jour votre périmètre lorsque des modifications sont apportées aux systèmes, processus et personnels.

Considérations de délimitation PCI

Le PCI SSC a publié des conseils supplémentaires pour comprendre et maintenir votre périmètre de conformité. Voici quelques considérations importantes à garder à l'esprit.

  • La segmentation ne réduit pas automatiquement votre périmètre de conformité. Au lieu de cela, la segmentation doit être construite avec but et intention pour garantir que le CDE est suffisamment protégé.
  • Le périmètre PCI doit être réévalué sur base annuelle. Lors de cette révision, l'entreprise doit réaliser un autre exercice de délimitation PCI pour examiner le flux des données des titulaires de carte et identifier tout nouveau système pertinent. La documentation doit être conservée d'année en année comme preuve lors des audits.
  • Les segments de réseau doivent subir des tests d'intrusion PCI annuels. Ces tests permettront d'assurer l'efficacité de vos méthodes de segmentation et d'identifier toute vulnérabilité avant qu'elle n'impacte la sécurité des données des titulaires de carte.

Autres moyens de réduire votre périmètre de conformité PCI DSS

Bien que la segmentation soit l'une des méthodes les plus courantes pour réduire le périmètre PCI, il existe d'autres mesures que vous pouvez prendre.

Ne pas stocker les données dont vous n'avez pas besoin

Celle-ci est simple : si vous n'avez pas besoin de données des titulaires de carte, ne les stockez pas.

Le stockage des données des titulaires de carte entraîne des réglementations rigoureuses selon l'Exigence 3 du PCI DSS impliquant la création et l'application de politiques relatives à l'identification, à la rétention et à la suppression.

En évitant le stockage inutile de données des titulaires de carte, vous réduisez non seulement votre périmètre de conformité mais vous simplifiez également votre processus de conformité PCI.

Tokenisation

La tokenisation convertit les données des titulaires de carte en lettres et chiffres générés algorithmiquement.

Une fois le processus terminé, les jetons ne sont pas considérés comme des données de titulaires de carte. Cela signifie que les systèmes qui traitent, stockent ou transmettent des jetons ne sont pas considérés comme étant dans le périmètre de conformité.

Utiliser une solution P2PE répertoriée par le PCI

Si votre organisation effectue des paiements en magasin physique, utiliser une solution de chiffrement point à point (P2PE) au point de vente aide à réduire votre périmètre.

Un outil P2PE chiffre les données des titulaires de carte, et seul le fournisseur de solution est capable de les déchiffrer. Cela signifie que le commerçant n'a jamais accès aux données de compte non chiffrées.

Les entreprises qui utilisent une solution P2PE sont tenues de remplir un P2PE SAQ, qui est un processus d'évaluation significativement moins strict par rapport aux autres types de SAQ.

Externaliser à un prestataire de services tiers

Vous pouvez également choisir d'externaliser certains aspects de la gestion des données des titulaires de carte à un prestataire de services tiers.

Cependant, vous êtes toujours en fin de compte responsable de la protection des données des titulaires de carte et devez faire preuve de diligence raisonnable pour vous assurer que les tiers avec lesquels vous travaillez sont en conformité avec les exigences PCI applicables.

Comment Secureframe peut aider à définir la portée de votre CDE

Si déterminer votre portée vous semble encore accablant, nous sommes là pour vous aider.

L'équipe d'experts PCI DSS de Secureframe vous guidera tout au long du processus de définition de la portée avant de vous aider tout au long du reste du parcours de conformité.

Prêt à commencer? Demandez une démo avec notre équipe dès aujourd'hui.