La conformité PCI nécessite plus de 300 contrôles de sécurité et une dizaine d'exigences allant de la sécurité réseau au chiffrement des données. Pour la plupart des entreprises, atteindre et maintenir la conformité est un processus difficile et coûteux — mais cela ne doit pas être le cas.

Dans cet article, nous expliquerons comment la tokenisation peut aider à rationaliser vos efforts de conformité PCI DSS.

Nous utiliserons des informations tirées du webinaire Secureframe Expert Insights tenu le 9 mars, mettant en vedette l'expert en conformité Secureframe Marc Rubbinaccio, CISSP, CISA et le co-fondateur et COO de Basis Theory, Brian Billingsley. Pour tous leurs conseils sur la simplification de la conformité PCI avec la tokenisation et l'automatisation, regardez la rediffusion vidéo à la demande.

Qu'est-ce que la tokenisation PCI?

La tokenisation se réfère au processus d'échange de données sensibles contre un identifiant non sensible et non exploitable (un « jeton »).

Certains commerçants qui doivent se conformer au PCI DSS utilisent la tokenisation pour réduire ou éliminer le besoin de conserver les données des titulaires de carte (CHD) dans leur environnement une fois que les transactions initiales ont été traitées. Remplacer les CHD par des jetons réduit la quantité de données des titulaires de carte dans l'environnement et le nombre de composants système auxquels les exigences PCI DSS s'appliquent, ce qui peut aider à simplifier la conformité.

En travaillant avec un fournisseur de services de tokenisation, les organisations poursuivant la conformité PCI peuvent également continuer à effectuer les mêmes opérations de stockage, de traitement et de transmission des données des titulaires de carte sans être responsables de la sécurité de ces données. Elles transfèrent ce risque au fournisseur de services à la place.

Il est important de noter que l'exigence 3.2 du PCI DSS ne permet pas le stockage des données d'authentification sensibles après autorisation, y compris les données de bande magnétique ou l'équivalent sur une puce, les données CAV2 / CVC2 / CVV2 / CID et les NIP/blocs NIP à moins que vous n'effectuiez également des services d'émission.

La conformité PCI nécessite-t-elle la tokenisation?

Non, le PCI ne nécessite pas de tokenisation pour le stockage des CHD. Cependant, l'utilisation de la tokenisation peut réduire la portée globale du PCI et, par conséquent, la quantité d'efforts nécessaires pour se conformer aux exigences du PCI DSS. Il s'agit donc d'une stratégie de sécurité des données de plus en plus courante pour les organisations poursuivant la conformité PCI DSS.

En quoi la tokenisation est-elle différente du chiffrement?

La tokenisation et le chiffrement sont deux méthodes de sécurisation des données sensibles, mais elles présentent des différences clés.

Le chiffrement convertit des données sensibles lisibles (texte en clair) en texte illisible (texte chiffré). Le but du chiffrement est de rendre les données sensibles illisibles pour les personnes non autorisées. Seuls les utilisateurs autorisés disposant de la clé de déchiffrement doivent être capables de convertir le texte chiffré en sa forme lisible. Étant donné que le chiffrement nécessite l'utilisation et la gestion de clés, les organisations doivent mettre en place des processus de gestion des clés solides. Sans elles, les clés de déchiffrement pourraient tomber entre les mains de personnes qui ne devraient pas accéder aux données sensibles.

La gestion des clés présente des défis en termes de sécurité des données chiffrées. Utiliser la tokenisation en tant que service ne nécessite pas du tout de gestion des clés de chiffrement.

La tokenisation remplace les données sensibles par des jetons uniques et non sensibles, ce qui réduit le risque qu'un attaquant accède aux données sensibles réelles. Les jetons peuvent être stockés, traités et transmis sans exposer aucune information sensible. En cas de violation de données, par exemple, aucune donnée sensible ne serait trouvée en cours de traitement, de stockage ou de transmission — seuls des jetons non réversibles le seraient.

Quel est le format d'un token PCI ?

Les jetons peuvent varier en format et peuvent être générés à l'aide de différentes méthodes en fonction du fournisseur de tokenisation.

Un jeton remplaçant un numéro de compte principal (PAN) suivra probablement une structure similaire ou pourra être composé uniquement de caractères numériques, de caractères alphabétiques et numériques, ou des premiers et derniers chiffres du PAN avec des caractères alphabétiques et numériques remplaçant les chiffres du milieu, parmi d'autres formats.

Source : Directives de tokenisation du PCI SSC’s PCI DSS

Comment fonctionne la tokenisation PCI ?

Le processus de tokenisation varie selon la plateforme de tokenisation, mais peut généralement être décomposé en étapes clés suivantes.

Pour commencer, une application collecte et transmet le CHD, y compris le PAN, à la plateforme de tokenisation fournie par le prestataire de services de tokenisation. La plateforme génère alors un jeton unique correspondant aux données de paiement d'origine. Le fournisseur de tokenisation stocke les données sensibles dans une base de données protégée et doit respecter les exigences PCI concernant le stockage du CHD.

Le fournisseur de tokenisation renvoie ensuite le jeton à l'organisation qui peut désormais utiliser ce jeton de la même manière que les données de paiement réelles. Lorsque l'organisation souhaite utiliser le jeton, elle envoie le jeton au fournisseur de tokenisation et ce dernier utilisera les données de paiement au lieu du jeton.

Exigences de tokenisation du PCI DSS

Comme le système de tokenisation stocke, traite et/ou transmet des données de titulaires de carte, il doit être conforme à la norme PCI DSS. La bonne nouvelle est que vous pouvez ensuite utiliser l'attestation de conformité du fournisseur de tokenisation pour répondre à de nombreuses exigences liées à la sécurité des données des titulaires de carte.

Voici quelques-unes des exigences clés que doit remplir le système de tokenisation :

• Ne pas fournir le PAN dans aucune réponse à une application, un système, un réseau ou un utilisateur en dehors de l'environnement des données de titulaires de carte défini par le marchand.
• Établir tous les composants de tokenisation sur des réseaux internes sécurisés, isolés de tout réseau non fiable et hors périmètre.
• Concevoir tous les composants de tokenisation selon des normes de configuration strictes et les protéger contre les vulnérabilités.
• Ne permettre que des communications de confiance à l'intérieur et à l'extérieur de l'environnement du système de tokenisation.
• Appliquer une cryptographie et des protocoles de sécurité solides pour protéger les données des titulaires de carte lorsqu'elles sont stockées et lors de leur transmission sur des réseaux publics ouverts.
• Mettre en œuvre des contrôles d'accès stricts et des mesures d'authentification conformément aux exigences 7 et 8 de la norme PCI DSS.
• Soutenir un mécanisme de suppression sécurisée des données des titulaires de carte comme l'exige une politique de conservation des données.
• Mettre en œuvre des journaux, une surveillance et une alerte appropriés pour identifier toute activité suspecte et initier des procédures de réponse.

La tokenisation est-elle adaptée à vous et à votre parcours de conformité PCI ?

La tokenisation peut être une bonne solution pour vous si vous appartenez à l'une des catégories suivantes :

• Commerçants qui souhaitent utiliser les données des cartes pour suivre les transactions, effectuer des contrôles de fraude, etc., et partager ces données avec plusieurs processeurs de paiement sans réellement toucher ces données ou les avoir dans leur système ou leurs journaux.
• Fournisseurs de services qui doivent montrer les données des cartes aux clients - pour leur fournir une carte à usage unique, par exemple - et rester dans le périmètre de la norme PCI DSS.

Comment Secureframe et Basis Theory peuvent vous aider à obtenir et à maintenir la conformité PCI

La tokenisation et l'automatisation peuvent éliminer 90 % du temps et des efforts impliqués dans la conformité PCI.

Un fournisseur de services de tokenisation comme Basis Theory offre une infrastructure de niveau PCI 1 complète avec tout ce dont vous avez besoin pour collecter, sécuriser et utiliser les données sensibles des cartes plus rapidement et plus facilement.

Lorsqu'il est associé à la plateforme d'automatisation de la conformité à la sécurité et à la confidentialité de Secureframe, vous pouvez encore simplifier le processus de conformité PCI en automatisant la collecte de preuves PCI, en surveillant en continu vos contrôles PCI et en ayant des experts internes pour vous aider à définir le périmètre de votre engagement et effectuer une évaluation de préparation. Demandez une démo aujourd'hui.