Suite à notre récente alerte client, découvrez les implications de la norme PCI DSS 4.0 qui entrera en vigueur en 2025. Mark Schreiber, Brian Long et Sam Genovese partagent leurs perspectives basées sur leur expérience auprès des clients sur ces sujets.
En détail
Qu’est-ce que la norme PCI DSS et à qui s’applique-t-elle ?
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble complet d’exigences de sécurité relatives au traitement des cartes de crédit et de débit. Elle concerne tous les commerçants et les fournisseurs de services tiers (TPSP) qui utilisent le commerce électronique pour les paiements en ligne, les centres d’appels prenant des paiements par carte, les paiements en magasin avec des terminaux de paiement, ou toute autre forme de traitement par carte. Même les TPSP dont l’activité peut seulement influencer la sécurité du traitement des cartes doivent se conformer à la norme PCI DSS.
Quelles sont les nouvelles obligations PCI DSS 4.0 qui entreront en vigueur le 31 mars 2025 ?
La date limite pour la mise en œuvre complète des obligations de conformité renforcées sous PCI DSS 4.0 est fixée au 31 mars 2025. La transition vers les nouveaux contrôles PCI DSS 4.0 nécessite l’établissement de nouvelles politiques, de nouveaux processus et solutions technologiques pour les transactions par carte.
La version 4.0 introduit des changements significatifs, notamment des formulaires d’auto-évaluation (SAQ) plus longs et détaillés. Une grande différence réside dans l’accent mis sur l’analyse des risques ciblés et la maturité organisationnelle. De plus, cette nouvelle version propose une approche personnalisée pour les évaluations PCI, permettant aux entreprises d’implémenter des contrôles techniques et administratifs alternatifs adaptés à leurs besoins spécifiques.
Pour se préparer à cette transition, les entreprises doivent réaliser une analyse des écarts afin d’identifier les domaines où leurs pratiques actuelles ne sont pas en conformité avec les nouvelles exigences 4.0, afin d’éviter amendes et pénalités. Elles devront également actualiser leurs politiques de sécurité, mettre en œuvre les changements techniques nécessaires pour répondre aux normes de sécurité renforcées, et former le personnel aux nouvelles procédures.
Quelles sont les idées reçues courantes concernant la conformité à PCI DSS 4.0 ?
Certaines entreprises à tort pensent qu’en déléguant des fonctions liées aux cartes à une plateforme de paiement tierce et en ne stockant pas les numéros de carte, elles sont exonérées d’obligations PCI DSS. Cela est incorrect. Ces commerçants doivent toujours compléter un SAQ annuel et documenter une attestation de conformité (AOC).
Une autre idée reçue est de considérer PCI DSS 4.0 comme une norme purement technologique, gérée uniquement par le département informatique. Ce n’est pas le cas. Elle traite d’une variété de risques associés aux personnes, aux processus et à la technologie. PCI DSS 4.0 nécessite souvent une approche collective impliquant plusieurs départements, y compris le juridique, la conformité, les achats, la gestion des fournisseurs, ainsi que l’informatique ou la sécurité informatique.
Quels sont quelques exemples de changements clés dans PCI DSS 4.0 ?
Voici des exemples de nouvelles exigences PCI DSS 4.0 qui seront obligatoires d’ici le 31 mars 2025 :
- Définition de l’étendue de PCI DSS : Doit être réalisée annuellement pour les commerçants (ou tous les six mois pour les TPSP) et implique la documentation des rôles et responsabilités à travers plusieurs contrôles.
- Scripts de page de paiement : Mise en œuvre de contrôles pour tous les scripts de page de paiement exécutés dans les navigateurs des consommateurs.
- Solutions techniques automatisées : Nécessaires pour les applications web destinées au public afin de détecter et prévenir en continu les attaques web.
- Surveillance et réponse : Obligations renforcées concernant la surveillance et l’obtention de documents des TPSP.
- Analyses des risques ciblées : Nécessaires pour plusieurs contrôles, demandant des évaluations des risques granulaire.
- Exigences de cryptage renforcées : Nécessaires lors de l’utilisation du cryptage de disque complet pour protéger les numéros de carte.
Quel impact PCI DSS 4.0 a-t-elle sur les fournisseurs et prestataires tiers ?
À l’approche de la date limite du 31 mars 2025 pour la conformité à la norme PCI DSS 4.0, l’accent est mis sur la sécurité des fournisseurs et prestataires tiers. Les entreprises doivent s’assurer et surveiller que leurs partenaires respectent les nouvelles normes. Cela inclut de mener une due diligence approfondie, d’exiger des accords contractuels en matière de conformité, d’obtenir les AOCs des tiers, et d’évaluer régulièrement les pratiques de sécurité des tiers. Pour garantir la conformité, les entreprises devraient établir ou obtenir une matrice de responsabilités de services de chaque fournisseur qui précise ce dont il est responsable dans les services couverts.
Bon à savoir
- Les normes PCI DSS doivent être mises à jour régulièrement pour rester conformes aux évolutions réglementaires.
- La formation continue du personnel est cruciale pour garantir une compréhension claire des obligations de conformité.
- Une bonne communication entre les différentes équipes de l’entreprise facilite la mise en œuvre des exigences PCI DSS.
En somme, la conformité à la norme PCI DSS 4.0 représente un défi substantiel pour de nombreuses organisations, mais également une opportunité d’améliorer leurs pratiques de sécurité. En abordant ces exigences proactivement, les entreprises peuvent non seulement réduire les risques de sécurité mais aussi renforcer leur réputation auprès de leurs clients. La question de la sécurité des données est devenue centrale dans nos échanges commerciaux; ainsi, continuer à dialoguer autour de ce sujet reste indispensable pour l’avenir.
Nos rédacteurs utilisent l'IA pour les aider à proposer des articles frais de sources fiables à nos utilisateurs. Si vous trouvez une image ou un contenu inapproprié, veuillez nous contacter via le formulaire DMCA et nous le retirerons rapidement. / Our editors use AI to help them offer our readers fresh articles from reliable sources. If you find an image or content inappropriate, please contact us via the DMCA form and we'll remove it promptly.