Le guide rapide des exigences PCI DSS est un ensemble d'exigences à respecter pour assurer la sécurité des données des cartes de crédit. Ces exigences visent à protéger les titulaires de cartes contre la fraude et à empêcher l'utilisation non autorisée des informations relatives à leur carte de crédit. Afin de satisfaire à ces exigences, les entreprises doivent mettre en place et maintenir un environnement sécurisé pour le stockage, le traitement et la transmission des données de cartes de crédit.
Comment procéder à une évaluation des risques PCI ?
Il existe plusieurs façons de procéder à une évaluation des risques PCI, mais le plus important est de s'assurer que l'on couvre toutes les bases. La meilleure façon de le faire est d'utiliser une liste de contrôle qui couvre tous les risques potentiels associés à la conformité PCI.
Voici quelques-unes des choses que vous voudrez inclure dans votre liste de contrôle :
- L'identification de tous les systèmes qui traitent des informations de cartes de crédit
- L'identification de toutes les personnes qui ont accès à ces systèmes
- L'identification de tous les processus qui sont utilisés pour traiter les informations de cartes de crédit
- L'identification de tous les risques potentiels associés à chacun de ces systèmes, personnes et processus
- L'identification des contrôles en place pour atténuer ces risques
- L'identification de toute lacune dans ces contrôles
- L'identification de ce qui doit être fait pour combler ces lacunes
Une fois que vous avez votre liste de contrôle, vous pouvez commencer à faire votre évaluation des risques. La meilleure façon de procéder est de passer en revue chaque élément de la liste de contrôle et de vous demander quels sont les risques et quels sont les contrôles en place pour atténuer ces risques.
Si vous n'êtes pas sûr de la nature des risques, vous pouvez toujours consulter un expert en conformité PCI. Il sera en mesure de vous aider à identifier les risques et à mettre en place un plan pour les atténuer.
Qu'est-ce que le cadre PCI DSS ?
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité destinées à protéger les données des titulaires de cartes. Le PCI DSS est géré par le PCI Security Standards Council, qui est composé des principales marques de cartes de crédit telles que Visa, MasterCard, American Express et Discover.
Le cadre PCI DSS se compose de 12 exigences qui doivent être satisfaites pour être conforme. Ces exigences sont conçues pour garantir que les données des titulaires de cartes sont protégées contre tout accès non autorisé et sont correctement sécurisées.
Les exigences PCI DSS sont les suivantes :
1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes
2. Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité
3. Protéger les données stockées des titulaires de cartes
4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics
5. Utiliser et mettre à jour régulièrement un logiciel anti-virus
6. Développer et maintenir des systèmes et des applications sécurisés
7. Restreindre l'accès aux données des titulaires de cartes en fonction du besoin d'en connaître
8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur
9. Restreindre l'accès physique aux données des titulaires de cartes
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes
11. Tester régulièrement les systèmes et processus de sécurité
12. Maintenir une politique qui traite de la sécurité de l'information
Quelles sont les exigences obligatoires pour adhérer à PCI DSS ?
Il y a 12 exigences obligatoires pour adhérer à PCI DSS :
1. Installer et maintenir une configuration de pare-feu pour protéger les données
2. Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité
3. Protéger les données stockées
4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics
5. Utiliser et mettre à jour régulièrement un logiciel anti-virus
6. Développer et maintenir des systèmes et des applications sécurisés
7. Restreindre l'accès aux données en fonction du besoin de savoir
8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur
9. Restreindre l'accès physique aux données des titulaires de cartes
10. Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de cartes
11. Tester régulièrement les systèmes et processus de sécurité
12. Maintenir une politique qui traite de la sécurité de l'information pour tout le personnel
Quelles sont les exigences pour le DSS ?
Les exigences du DSS (Data Storage System) sont assez simples et directes. Le système doit permettre le stockage et la sauvegarde des données, ainsi que l'accès aux données pour les utilisateurs autorisés. Le système doit également être capable de monter ou descendre en charge selon les besoins, afin de s'adapter aux changements de volume de données.