Le standard PCI DSS

Le standard PCI DSS (Payment Card Industry Data Security Standard) est développé par PCI pour renforcer la sécurité des données de titulaires de cartes bancaires. PCI a été fondée par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Ce standard est au programme du CISSP, notamment dans le domaine 1 ainsi que des certifications de sécurité du Cloud CCSP et CCSK. Le standard PCI DSS a été revu en mars 2022 : voir les principaux changements entre PCI DSS v4 et v3.2.1.

Champ d’application

Les données « cartes bancaires » au sens PCI DSS sont regroupées en deux catégories :

  • Les données du titulaire de la carte: numéro de compte primaire (Primary Account Number), nom du titulaire, date d’expiration de la carte et code de service.
  • Les données d’identification sensibles: données de bande magnétique ou données puce, code de vérification, codes / blocs PIN.

PCI DSS s’applique à l’environnement CDE (cardholder data environment ) c’est à dire les personnes, processus et technologies qui stockent, traitent ou transmettent ces données. Les systèmes qui ne stockent pas, ne traitent pas et ne transmettent pas ces données mais qui ont des connexions à un environnement traitant des données doivent être inclus au périmètre CDE.

En termes d’infrastructure (on-premise ou Cloud), il faut prendre en compte l’ensemble des composants : serveurs d’authentification, firewalls, hyperviseurs, routeurs, commutateurs, bases de données, serveurs DNS, serveurs de temps, applications et plus généralement tout composant situé à l’intérieur du CDE ou connecté au CDE. La définition du périmètre est fondamentale. L’entité évaluée doit démontrer et documenter comment ce périmètre est défini. Cette documentation préciser les flux de données « cartes bancaires  ». En termes de segmentation réseau, pour qu’un composant soit considéré hors du CDE, il faut pouvoir établir qu’en cas de compromission de ce composant, le CDE ne serait pas impacté.

Si l’entité utilise un (ou des) sous-traitant(s) pour le stockage, le traitement, la transmission des données « cartes bancaires » ou l’administration des composants du CDE, il faut prouver que ces prestataires sont conformes PCI DSS. Soit le prestataire dispose déjà de la conformité PCI DSS, soit il faudra inclure l’évaluation du prestataire à l’audit de l’entité.

Processus d’évaluation

Le processus d’évaluation comprend les étapes suivantes :

  • Vérifier le périmètre d’évaluation et la définition du CDE.
  • Evaluer la sécurité de l’environnement en suivant les procédures de test détaillées dans la norme.
  • Etablir le rapport d’évaluation : soit l’auto-évaluation, soit le ROC - Report on Compliance en fonction de ce qui est requis (*) comprenant le détail des contrôles et des documents (par exemple les rapports de scan en vulnérabilités par un outil certifié ASV (Approved Scanning Vendor).
  • Compléter l’attestation de conformité (de type prestataires de services ou commerçants).
  • Envoyer le rapport d’évaluation, l’attestation de conformité et les annexes à l’acquéreur (dans le cas de commerçants), à la marque de carte de paiement ou à tout autre demandeur (dans le cas de prestataires de services).
  • Effectuer le cas échéant les actions pour traiter les non-conformités, et fournir un rapport mis à jour.

(*) Les niveaux (ou tiers) des commerçants sont définis en fonction des données cartes. Par exemple 4 niveaux sont définis pour VISA :

  1. Plus de 6 millions de transactions par an (rapport annuel par un QSA, rapports trimestriels de scans par un ASV).
  2. Entre 1 million et 6 millions de transactions par an (questionnaire d’auto-évaluation et rapports trimestriels de scans par un ASV).
  3. Entre 20000 et 1 million de transactions par an (questionnaire d’auto-évaluation et rapports trimestriels de scans par un ASV).
  4. Moins de 20000 transactions par an (questionnaire d’auto-évaluation recommandé, rapports trimestriels de scans par un ASV si applicable).

 

Exigences PCI-DSS

Les exigences du standard sont regroupées dans 12 grands domaines  :

  • Installer et gérer des mesures de sécurité des réseaux.
  • Appliquer des configurations sécurisées (durcissement) à tous les composants.
  • Protéger les données de titulaires de carte stockées.
  • Chiffrer la transmission des données de titulaires de carte sur les réseaux publics ouverts.
  • Protéger tous les systèmes et les réseaux contre les programmes malveillants.
  • Développer et maintenir des systèmes et des applications sécurisés.
  • Restreindre l’accès aux données de titulaires de carte et aux composants avec une approche métier « besoin d’en connaitre ».
  • Identifier les utilisateurs et authentifier les accès aux composants.
  • Restreindre les accès physiques aux données.
  • Tracer et superviser les accès aux systèmes et aux donnés.
  • Tester régulièrement la sécurité.
  • Mettre en place des politiques et des programmes de sécurité.

Pour chacun des domaines, le standard détaille :

  • Les exigences et les procédures de tests.
  • Des recommandations de mise en œuvre.

Par exemple dans le domaine 1, on trouve la règle de sécurité 1.4 : « les connections réseaux entre les réseaux de confiance et les réseaux non approuvés doivent être contrôlés  ». Deux procédures de tests sont définies pour cette règle :

  • Examiner les diagrammes réseaux pour vérifier que les règles de filtrages sont définies.
  • Examiner les configurations des équipements pour vérifier que le filtrage est mis en œuvre.

Liens avec d’autres normes

PCI maintient d’autres standards comme :

  • PCI PTS (PIN transaction Security) pour les terminaux.
  • PA-DSS (Payement Application) pour les logiciels qui stockent, traitent ou transmettent des données « cartes bancaires ».
  • P2PE (solutions de chiffrement).

 

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cybersécurité, CISSP, PCI DSS, ASV, QSA