Le
PCI Security Standards Council a mis en ligne un aperçu de la version 3.0 de PCI DSS et de PA-DSS qui
sera publiée officiellement le 7 novembre 2013.
Pour
rappel ces changements prennent en comptes les recommandations de la communauté PCI en
réponse aux besoins du secteur, l’Europe a pour sa part contribué à hauteur
de 27% derrière l’Amérique du Nord avec 49%.
Pas
de modification de la structure des 12 exigences PCI DSS, en revanche plusieurs nouvelles
sous-exigences sont à prévoir, l’objectif de la version 3.0 reste la
flexibilité de mise en œuvre des exigences selon le PCI SSC.
Au
total une douzaine de changements notables sont proposées dans la version 3.0,
avec un accent sur la documentation du périmètre et du flux de données cartes que nous avions déjà évoqué dans un précédent billet, la
gestion des vulnérabilités et la détection des logiciels malveillants, les test
d’intrusions par les commerçants, plus de flexibilité concernant les exigences
de mots de passe et l’exigence 12 repensée et très orientée gestion de la
conformité PCI des fournisseurs de services.
Bob
Russo (General Manager du PCI SSC) a
également rappelé lors d’une récente interview pour SearchSecurity que
la version 3.0 de PCI DSS est de complétement intégrer la conformité
PCI aux activités du commerçant et son métier au jour le jour « business as usual ». Et que la mission du PCI SSC est d’aider les commerçants à
protéger les données cartes où qu’elles soient conservées,
traitées et transmises.
A
ce stade ce ne sont que des propositions qui démontrent néanmoins de fortes
tendances :
Maintien d’un inventaire des composants dans
le périmètre PCI
Afin
de faciliter la gestion du périmètre PCI, le maintien d’un inventaire de l’ensemble
de ses composants dans ce périmètre devra être assuré. Au passage pour ceux qui sont déjà certifiés PCI DSS cet inventaire
est une exigence du ROC (Report On Compliance) qui fait partie intégrante de la
l’« Executive Summary » de ce dernier. Ne pas hésiter donc à réutiliser ce qui a déjà été fait et le maintenir !
Le
changement de mots de passe par défaut va devenir une exigence pour les
applications et les comptes de services, ainsi que les comptes d'utilisateurs
dans la version 3.0.
Documentation d’un diagramme des flux
de données carte
A la différence de la version 2.0 de PCI DSS
qui exige un diagramme réseau qui doit documenter toutes les
connexions aux données cartes, la version 3.0 devrait exiger un diagramme qui
documente les flux de données cartes afin de voir comment ces
données circulent à travers les composants documentés dans le diagramme réseau.
Evolution
des menaces liées aux logiciels malveillants
Dans la version 2.0 de PCI DSS il suffisait
de dire que mon système d’exploitation n’est pas affecté par des logiciels
malveillants pour rendre inapplicable l’exigence 5.1 (Déployer des logiciels antivirus sur tous les systèmes régulièrement affectés par des logiciels malveillants). PCI DSS version 3.0 propose à présent d’évaluer la menace des logiciels malveillants des composants non affectés par ces
derniers. Ce qui constitue une évolution majeure en contradiction avec l’ensemble
des pratiques jusqu’à maintenant retenues par certains, elle risque de surcroît d’être très
interprétable mais reste louable quand on voit l’évolution des logiciels
malveillants au niveau du point de vente par exemple.
Alignement
des pratiques de développements en réponse aux menaces émergeantes
PCI DSS version 3.0 rappel l’importance de répondre
aux menaces émergeantes des applications qui traitent, conservent et transmettent
des données cartes. Cette proposition devra être portée par les pratiques de
développement sécurisé existantes afin d’y inclure les bonnes pratiques d’organismes
reconnus comme l’OWASP, le NIST, le SANS, l'ANSSI ... dans la gestion des vulnérabilités
courantes.
Ouverture aux autres méthodes
d’authentifications et plus de flexibilité dans le choix de la politique de mot
de passe Pour répondre aux retours de la communauté PCI concernant les méthodes d’authentifications autres que les mots de passe, la version 3.0 de PCI DSS devraient prendre en considération des mécanismes d'authentification reposant sur des jetons physiques, des cartes à puce ou des certificats.
Plusieurs
changements sont également proposés pour l’exigence 8 de PCI DSS (Affecter un ID unique à chaque utilisateur d’ordinateur), notamment des
propositions pour une plus grande flexibilité dans la force et la complexité du
mot de passe avec des combinaisons équivalentes, ainsi que des recommandations afin de laisser le choix aux utilisateurs de
choisir des mots de passe robustes, protéger leurs informations
d'identification et de changer les mots de passe en cas de soupçon de
compromission.
Protection des terminaux de paiement contre les attaques physiques
Protection des terminaux de paiement contre les attaques physiques
Pour répondre à l’explosion des attaques sur les terminaux de paiements, l’exigence 9 (Restreindre l’accès physique aux données des titulaires de cartes) devrait intégrer de nouvelles exigences de protections des terminaux et autres dispositifs de paiement contre l’altération, la substitution ou autre attaque physique. Cela devrait se traduire par des vérifications de base comme les inventaires, les numéros de séries, état physique du terminal ...
Mise en œuvre d’une méthodologie de tests d’intrusion
Les changements apportés à l’exigence 11 (Tester régulièrement les processus et les systèmes de sécurité) risquent de créer la controverse avec la mise en œuvre d'une méthodologie de tests d’intrusions, et la validation par ces tests de l’étanchéité du périmètre qui doit être opérationnelle et effective.
Clarification des responsabilités pour les
commerçants qui s’appuient sur des fournisseurs de services
Pour les commerçants les nouvelles exigences devraient insister sur le maintien des informations concernant les exigences PCI DSS gérées par le fournisseur de services et celles gérées par les commerçants eux-mêmes, ce qui obligerait les fournisseurs de services à reconnaître leur responsabilité de maintenir les exigences PCI DSS applicables. Une grande partie de ce qui était couvert dans l’exigence 12 (Gérer une politique de sécurité des informations pour l'ensemble du personnel) concernant la politique de sécurité devrait être également intégrée dans les autres exigences.
Les modifications de l'exigence 12 sont en autre une réponse pour les commerçants qui utilisent le Cloud comme un élément de leur infrastructure de traitement des paiements. À ce jour, la conformité PCI DSS du Cloud reste complexe en terme de responsabilités et de périmètre également pour les QSAs (Qualified Security Assessors) sans parler des investigations à l’issue d’une compromission.
La nouvelle exigence respose également sur une approche par les risques promue par le PCI SSC compte tenu des nouveaux canaux d’acceptations mobiles, enfin qui parle de responsabilités parle de partage des risques et des pénalités en cas de compromission. Ce qui permettra de dissuader les commerçants de s’assurer de la conformité de leurs fournisseurs de services et permettra à ces derniers de répondre à leurs engagements.
Pour les commerçants les nouvelles exigences devraient insister sur le maintien des informations concernant les exigences PCI DSS gérées par le fournisseur de services et celles gérées par les commerçants eux-mêmes, ce qui obligerait les fournisseurs de services à reconnaître leur responsabilité de maintenir les exigences PCI DSS applicables. Une grande partie de ce qui était couvert dans l’exigence 12 (Gérer une politique de sécurité des informations pour l'ensemble du personnel) concernant la politique de sécurité devrait être également intégrée dans les autres exigences.
Les modifications de l'exigence 12 sont en autre une réponse pour les commerçants qui utilisent le Cloud comme un élément de leur infrastructure de traitement des paiements. À ce jour, la conformité PCI DSS du Cloud reste complexe en terme de responsabilités et de périmètre également pour les QSAs (Qualified Security Assessors) sans parler des investigations à l’issue d’une compromission.
La nouvelle exigence respose également sur une approche par les risques promue par le PCI SSC compte tenu des nouveaux canaux d’acceptations mobiles, enfin qui parle de responsabilités parle de partage des risques et des pénalités en cas de compromission. Ce qui permettra de dissuader les commerçants de s’assurer de la conformité de leurs fournisseurs de services et permettra à ces derniers de répondre à leurs engagements.
Wonderful article! We are linking to this great post on our site.Keep up the good writing. Certificat De Conformité
RépondreSupprimer