Les standards PCI DSS 3.0 pour les cartes de crédit




Le début d'année 2014 a marqué l'entrée en vigueur de la version 3 du standard de marché PCI DSS pour les cartes de crédit et les applications de paiement.

Quelques jours à peine après que Target se soit fait dérober plus de 40 millions de numéros de carte de crédit lors d'une cyber-attaque, et alors que Gartner prédit que le marché de la sécurité montera jusqu'à 86 G$ en 2016, l'organisme PCI Security Standards Council, créé en 2005, relâche sa version 3 des standards.

Originellement créés pour harmoniser les exigences de sécurité de Visa et de Mastercard, ces standards du marché définissent à l'attention des commerçants, sociétés émettrices de cartes bancaires, banques et hébergeurs de systèmes de paiement, les exigences de sécurité à respecter pour assurer la protection des numéros de carte de crédit et informations personnelles qui y sont attachées.

Si la version 2 de la norme reste en application jusqu'au 1er janvier 2015 et certains domaines jusqu'au 1er juin 2015, la version 3 est désormais en vigueur depuis le 1er janvier 2014 avec un déploiement progressif.

La version 3 apporte en fait davantage de flexibilité et de clarté. Son objectif est d'ancrer la conformité PCI dans le processus quotidien de l'organisation et dans la culture, en insistant sur le partage des responsabilités, notamment à l'extérieur du département informatique. Rappelons que PCI n'est pas un projet informatique mais bien un projet d'Affaires.

Le cycle de vie de la mise en conformité est étendue de 2 à 3 ans, selon un cadre constitué en 8 étapes. Quelques exigences complémentaires ont été ajoutées, d'autres assouplies. Le PCI security Standard Council a clairement essayé de rendre les standards plus accessibles et moins ambigus, et fournit davantage d'encadrement que dans les versions précédentes.

Rappelons que les standards PCI sont répartis en 12 chapitres et qu'il existe une zone de recouvrement avec les standards de la norme ISO 27001. PCI a jusqu'à présent, généré beaucoup de discussions notamment vis à vis de son obligation de chiffrer les numéros personnels de la carte de crédit, stockés en interne des organisations.

Pradel Conseil dispose de conseillers certifiés PCI QSA. Sur la base de notre expérience, le principal écueil observé dans la mise en conformité au standard PCI réside dans la mauvaise interprétation de la norme, dans sa réduction à une problématique IT et non business et dans le mauvais cadrage du domaine d'application. Cette nouvelle version des standards devrait donc permettre une meilleure mise en application. Il est également important de rappeler que PCI n'est pas une loi mais une exigence contractuelle associé à un risque de réputation et à des pénalités financières.

#sécurité #français #vérification