dimanche 18 août 2013

Le PCI Council publie un aperçu des changements de la version 3.0 de PCI DSS



Le PCI Security Standards Council a mis en ligne un aperçu de la version 3.0 de PCI DSS et de PA-DSS qui sera publiée officiellement le 7 novembre 2013. 

Pour rappel ces changements prennent en comptes les recommandations de la communauté PCI en réponse aux besoins du secteur, l’Europe a pour sa part contribué à hauteur de 27% derrière l’Amérique du Nord avec 49%.

Pas de modification de la structure des 12 exigences PCI DSS, en revanche plusieurs nouvelles sous-exigences sont à prévoir, l’objectif de la version 3.0 reste la flexibilité de mise en œuvre des exigences selon le PCI SSC.

Au total une douzaine de changements notables sont proposées dans la version 3.0, avec un accent sur la documentation du périmètre et du flux de données cartes que nous avions déjà évoqué dans un précédent billet, la gestion des vulnérabilités et la détection des logiciels malveillants, les test d’intrusions par les commerçants, plus de flexibilité concernant les exigences de mots de passe et l’exigence 12 repensée et très orientée gestion de la conformité PCI des fournisseurs de services.

Bob Russo (General Manager du PCI SSC)  a également rappelé lors d’une récente interview pour SearchSecurity que la version 3.0 de PCI DSS est de complétement intégrer la conformité PCI aux activités du commerçant et son métier au jour le jour « business as usual ». Et que la mission du PCI SSC est d’aider les commerçants à protéger les données cartes où qu’elles soient conservées, traitées et transmises.

A ce stade ce ne sont que des propositions qui démontrent néanmoins de fortes tendances :

Maintien d’un inventaire des composants dans le périmètre PCI

Afin de faciliter la gestion du périmètre PCI, le maintien d’un inventaire de l’ensemble de ses composants dans ce périmètre devra être assuré. Au passage pour ceux qui sont déjà certifiés PCI DSS cet inventaire est une exigence du ROC (Report On Compliance) qui fait partie intégrante de la l’« Executive Summary » de ce dernier. Ne pas hésiter donc à réutiliser ce qui a déjà été fait et le maintenir !

Le changement de mots de passe par défaut va devenir une exigence pour les applications et les comptes de services, ainsi que les comptes d'utilisateurs dans la version 3.0.

Documentation d’un diagramme des flux de données carte

A la différence de la version 2.0 de PCI DSS qui exige un diagramme réseau qui doit documenter toutes les connexions aux données cartes, la version 3.0 devrait exiger un diagramme qui documente les flux de données cartes afin de voir comment ces données circulent à travers les composants documentés dans le diagramme réseau.

Evolution des menaces liées aux logiciels malveillants

Dans la version 2.0 de PCI DSS il suffisait de dire que mon système d’exploitation n’est pas affecté par des logiciels malveillants pour rendre inapplicable l’exigence 5.1 (Déployer des logiciels antivirus sur tous les systèmes régulièrement affectés par des logiciels malveillants). PCI DSS version 3.0 propose à présent d’évaluer la menace des logiciels malveillants des composants non affectés par ces derniers. Ce qui constitue une évolution majeure en contradiction avec l’ensemble des pratiques jusqu’à maintenant retenues par certains, elle risque de surcroît d’être très interprétable mais reste louable quand on voit l’évolution des logiciels malveillants au niveau du point de vente par exemple.

Alignement des pratiques de développements en réponse aux menaces émergeantes

PCI DSS version 3.0 rappel l’importance de répondre aux menaces émergeantes des applications qui traitent, conservent et transmettent des données cartes. Cette proposition devra être portée par les pratiques de développement sécurisé existantes afin d’y inclure les bonnes pratiques d’organismes reconnus comme l’OWASP, le NIST, le SANS, l'ANSSI ... dans la gestion des vulnérabilités courantes.

Ouverture aux autres méthodes d’authentifications et plus de flexibilité dans le choix de la politique de mot de passe 

Pour répondre aux retours de la communauté PCI concernant les méthodes d’authentifications autres que les mots de passe, la version 3.0 de PCI DSS devraient prendre en considération des mécanismes d'authentification reposant sur des jetons physiques, des cartes à puce ou des certificats.

Plusieurs changements sont également proposés pour l’exigence 8 de PCI DSS (Affecter un ID unique à chaque utilisateur d’ordinateur), notamment des propositions pour une plus grande flexibilité dans la force et la complexité du mot de passe avec des combinaisons équivalentes, ainsi que des recommandations afin de laisser le choix aux utilisateurs de choisir des mots de passe robustes, protéger leurs informations d'identification et de changer les mots de passe en cas de soupçon de compromission. 

Protection des terminaux de paiement contre les attaques physiques 

Pour répondre à l’explosion des attaques sur les terminaux de paiements, l’exigence 9 (Restreindre l’accès physique aux données des titulaires de cartes) devrait intégrer de nouvelles exigences de protections des terminaux et autres dispositifs de paiement contre l’altération, la substitution ou autre attaque physique. Cela devrait se traduire par des vérifications de base comme les inventaires, les numéros de séries, état physique du terminal ... 

Mise en œuvre d’une méthodologie de tests d’intrusion 

Les changements apportés à l’exigence 11 (Tester régulièrement les processus et les systèmes de sécurité) risquent de créer la controverse avec la mise en œuvre d'une méthodologie de tests d’intrusions, et la validation par ces tests de l’étanchéité du périmètre qui doit être opérationnelle et effective. 

Clarification des responsabilités pour les commerçants qui s’appuient sur des fournisseurs de services 

Pour les commerçants les nouvelles exigences devraient insister sur le maintien des informations concernant les exigences PCI DSS gérées par le fournisseur de services et celles gérées par les commerçants eux-mêmes, ce qui obligerait les fournisseurs de services à reconnaître leur responsabilité de maintenir les exigences PCI DSS applicables. Une grande partie de ce qui était couvert dans l’exigence 12 (Gérer une politique de sécurité des informations pour l'ensemble du personnel) concernant la politique de sécurité devrait être également intégrée dans les autres exigences.

Les modifications de l'exigence 12 sont en autre une réponse pour les commerçants qui utilisent le Cloud comme un élément de leur infrastructure de traitement des paiements. À ce jour, la conformité PCI DSS du Cloud reste complexe en terme de responsabilités et de périmètre également pour les QSAs (Qualified Security Assessors) sans parler des investigations à l’issue d’une compromission.

La nouvelle exigence respose également sur une approche par les risques promue par le PCI SSC compte tenu des nouveaux canaux d’acceptations mobiles, enfin qui parle de responsabilités parle de partage des risques et des pénalités en cas de compromission. Ce qui permettra de dissuader les commerçants de s’assurer de la conformité de leurs fournisseurs de services et permettra à ces derniers de répondre à leurs engagements.

1 commentaire: