Savoir si vous devez être conforme au PCI DSS est assez simple. Si vous êtes un commerçant ou un prestataire de services qui gère des transactions par carte et des données de titulaire de carte, le PCI DSS s'applique très probablement à vous. Mais savoir exactement quoi faire pour être conforme est moins évident.

Le PCI DSS définit 12 exigences pour gérer les données des titulaires de carte en toute sécurité, y compris le maintien d'un réseau sécurisé, organisé en 6 objectifs. Vous devez remplir toutes ces exigences pour être conforme.

Si vous cherchez des conseils sur la manière de vous conformer au PCI DSS, continuez à lire. Cet article décompose l'essentiel des 12 exigences de conformité PCI dans un guide rapide et facile.

Les 6 principes de conformité PCI DSS

Ces 12 exigences du PCI DSS correspondent à six grands principes de conformité PCI, qui sont :

1. Construire et maintenir un réseau et des systèmes sécurisés
2. Protéger les données des titulaires de carte
3. Maintenir un programme de gestion des vulnérabilités
4. Mettre en œuvre des mesures de contrôle d'accès strictes
5. Surveiller et tester régulièrement les réseaux
6. Maintenir une politique de sécurité de l'information

Si toutes ces conditions sont remplies, alors l'environnement des données des titulaires de carte et les services inclus dans le périmètre sont considérés comme conformes au PCI.

Les 12 exigences du PCI DSS

Les exigences du PCI DSS renforcent non seulement l'environnement des données des titulaires de carte (CDE), mais aussi la posture de sécurité globale d'une entreprise.

Liste des exigences du PCI :

1. Installer et maintenir des contrôles de sécurité réseau
2. Appliquer des configurations sécurisées à tous les composants du système
3. Protéger les données de compte stockées
4. Protéger les données des titulaires de carte avec une cryptographie forte lors de la transmission sur des réseaux ouverts et publics
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants
6. Développer et maintenir des systèmes et des logiciels sécurisés
7. Restreindre l'accès aux composants du système et aux données des titulaires de carte en fonction des besoins professionnels
8. Identifier les utilisateurs et authentifier l'accès aux composants du système
9. Restreindre l'accès physique aux données des titulaires de carte
10. Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de carte
11. Tester régulièrement la sécurité des systèmes et des réseaux
12. Soutenir la sécurité de l'information avec des politiques et des programmes organisationnels

Il est également important de noter que la norme PCI DSS a subi des mises à jour à mesure que la technologie et les menaces ont évolué.

En 2022, l'organisme de gouvernance du PCI a annoncé la prochaine version de PCI DSS, v4.0, qui entrera en vigueur après le 31 mars 2025. PCI DSS v4.0 introduit à la fois de nouvelles exigences et une variété de changements aux exigences actuelles. Ceux-ci sont reflétés ci-dessous.

Présentation des exigences PCI

Vous pouvez considérer les 12 exigences du PCI DSS comme une sorte de feuille de route détaillant toutes les politiques, procédures et exigences de mise en œuvre qui doivent être en place pour parvenir à la conformité.

Ci-dessous, nous décomposons l'objectif de chacune des 12 exigences.

Exigence 1 : Installer et maintenir les contrôles de sécurité du réseau

Aujourd'hui, de nombreuses transactions se font virtuellement via Internet et le commerce électronique. Sans une sécurité adéquate, des utilisateurs non autorisés peuvent accéder aux réseaux de système de paiement.

L'Exigence 1 répond à ce problème en obligeant les entreprises à maintenir un réseau sécurisé avec des pare-feux.

Les pare-feux contrôlent le trafic entrant et sortant de votre réseau et filtrent les accès non autorisés à vos données, en veillant à ce que les données des titulaires de carte ne soient partagées qu'avec des connexions de confiance.

Pour se conformer à cette exigence, les entreprises doivent installer et configurer des pare-feux et créer des règles pour déterminer quel type de trafic est autorisé sur le réseau. L'exigence 1 impose également aux entreprises de revoir les règles de configuration tous les six mois, incluant des contrôles de sécurité réseau supplémentaires.

Exigence 2 : Appliquer des configurations sécurisées à tous les composants du système

Souvent, les dispositifs réseau et équipements sont préconfigurés avec des mots de passe et paramètres par défaut.

Les mots de passe et paramètres par défaut de la plupart des dispositifs réseau sont souvent largement connus, ce qui facilite l'accès des pirates à vos dispositifs. Le PCI DSS exige des entreprises qu'elles évitent d'utiliser des mots de passe par défaut et qu'elles modifient les mots de passe avant d'installer un système sur leur réseau.

Exigence 3 : Protéger les données de compte stockées

Cette exigence décrit les étapes spécifiques que les entreprises doivent suivre pour protéger les données des titulaires de carte stockées — qu'elles soient imprimées, stockées localement ou dans une base de données.

Les données des titulaires de carte peuvent faire référence à toute information contenue sur une carte de paiement, comme les NIP, les données PAN et les données d'authentification sensibles.

Le PCI DSS précise ce que vous pouvez et ne pouvez pas stocker après autorisation en ce qui concerne les données des titulaires de carte.

Peut stocker :

• Numéros de compte personnel (PAN)
• Noms des titulaires de carte
• Dates d'expiration

Ne peut pas stocker :

• Données de la bande magnétique
• NIP
• CVV

L'exigence spécifie également que les entreprises ne doivent stocker que les données de carte nécessaires pour répondre aux besoins commerciaux. Toutes les données que vous stockez doivent être cryptées en utilisant des pratiques de cryptage acceptées par l'industrie comme le cryptage AES-256 bits.

Exigence 4 : Protéger les données des titulaires de carte avec une cryptographie forte lors de la transmission sur des réseaux ouverts et publics

Cette exigence concerne la protection des données des titulaires de carte lorsqu'elles sont transmises sur des réseaux ouverts et publics, tels qu'Internet.

Lorsque les données des titulaires de carte doivent être partagées sur des réseaux ouverts et publics, les entreprises doivent utiliser une technologie de cryptage forte pour chiffrer les données contre les utilisateurs non autorisés.

Le PCI DSS stipule également que les entreprises ne doivent jamais envoyer de PAN non protégés via la messagerie utilisateur, comme le courrier électronique, les messages instantanés, les SMS et les chats.

Exigence 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants

Les logiciels malveillants, ou malwares, peuvent entrer dans un réseau par le biais de courriels, d'ingénierie sociale, d'installation de fichiers malveillants ou d'autres activités en ligne. Pour protéger les données des titulaires de carte contre de telles menaces, des logiciels antivirus doivent être installés et régulièrement mis à jour.

L'exigence 5 décrit les étapes spécifiques que les entreprises doivent suivre pour se protéger contre les logiciels malveillants, notamment :

• Installer des logiciels antivirus sur tous les systèmes couramment affectés par les malwares
• S'assurer que les logiciels antivirus effectuent des analyses périodiques et génèrent des journaux d'audit
• S'assurer que les logiciels antivirus ne peuvent pas être modifiés ou désactivés par les utilisateurs

Exigence 6 : Développer et maintenir des systèmes et logiciels sécurisés

Le but de l'Exigence 6 est de veiller à ce que vous ayez un processus en place pour gérer les logiciels au sein de votre CDE. Cette exigence inclut toutes les applications concernées dans votre environnement.

Le PCI DSS exige également des entreprises qu'elles installent des correctifs de sécurité en temps opportun pour protéger les données des titulaires de carte. L'exigence inclut également des contrôles pour les meilleures pratiques de développement de logiciels afin de prévenir les vulnérabilités.

Exigence 7 : Restreindre l'accès aux composants du système et aux données des titulaires de carte selon le besoin de savoir de l'entreprise

Les contrôles d'accès permettent à une entreprise de déterminer quels utilisateurs sont autorisés à accéder aux données des titulaires de carte ou aux systèmes pouvant affecter les données des titulaires de carte. En règle générale, le PCI DSS prescrit que l'autorisation doit être accordée sur la base du besoin de savoir.

L'exigence 7 stipule qu'une entreprise doit restreindre l'accès aux données des titulaires de carte uniquement aux employés qui ont besoin de l'information pour exercer leur travail.

Exigence 8 : Identifier les utilisateurs et authentifier l'accès aux composants du système

Le PCI DSS exige également que les entreprises attribuent un identifiant unique à chaque employé ayant accès aux composants du système. Cela permet à l'entreprise de conserver un historique des utilisateurs ayant accédé à divers aspects des données des titulaires de carte ou des systèmes associés en cas de violation de données.

L'exigence 8 exige également une authentification multifactorielle et un chiffrement des mots de passe pour protéger davantage les comptes utilisateurs.

Exigence 9 : Restreindre l'accès physique aux données des titulaires de carte

L'objectif de cette exigence est de limiter l'accès physique aux données des titulaires de carte ou aux systèmes affectant les données des titulaires de carte uniquement au personnel ayant besoin d'accéder aux systèmes pour accomplir son travail. Le PCI DSS exige également que les entreprises distinguent clairement le personnel sur place des visiteurs, par exemple avec des badges d'identification.

L'exigence 9 décrit également les mesures que les entreprises doivent prendre pour sécuriser les médias, qui englobent tous les supports papier et électroniques contenant des données de titulaires de carte. Cela inclut le stockage des sauvegardes des médias dans un endroit sûr et hors site et la destruction des supports lorsqu'ils ne sont plus nécessaires.

Exigence 10 : Consigner et surveiller tous les accès aux composants du système et aux données des titulaires de carte

L'exigence 10 se concentre sur la génération de journaux et la possibilité de suivre des actions jusqu'à un compte individuel. Cela aide une entreprise à identifier rapidement la source d'une demande malveillante ou d'une attaque.

Les entreprises doivent implémenter des pistes d'audit automatisées qui surveillent des événements spécifiques et envoient des notifications au personnel pour un examen quotidien. Les entreprises doivent aussi sécuriser les pistes d'audit afin qu'elles ne puissent pas être altérées.

Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux

L'objectif de l'exigence 11 est de maintenir la sécurité continue des systèmes internes et externes grâce à des tests réguliers.

Ces tests incluent des analyses trimestrielles de vulnérabilité du réseau et des tests d'intrusion annuels. Les techniques de détection ou de prévention des intrusions réseau doivent également être déployées pour détecter ou prévenir les intrusions réseau.

Exigence 12 : Soutenir la sécurité de l'information avec des politiques et des programmes organisationnels

La dernière exigence du PCI DSS exige des entreprises qu'elles créent et maintiennent une politique de sécurité de l'information qui influencera les pratiques de sécurité dans l'ensemble de l'organisation.

Cette exigence demande également aux entreprises de :

• Développer un programme de sensibilisation à la sécurité
• Effectuer des vérifications des antécédents des candidats
• Mettre en œuvre un plan de réponse aux incidents
• Mener un programme annuel d'évaluation des risques
• Créer une politique d'utilisation des technologies
• Définir les responsabilités de sécurité de l'information des employés
• Attribuer des responsabilités spécifiques pour la protection des données des titulaires de carte