Mises à jour du PCI-DSS : version 4.0

Mises à jour du PCI-DSS : version 4.0

Des détails sur la version 4.0 de la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) ont été récemment publiés, et bien que la version actuelle (3.2.1) reste valide jusqu’en mars 2024, les organisations doivent se préparer maintenant.

Jusqu’à présent, la norme était rigide avec peu de flexibilité sur la façon dont les organisations peuvent répondre à ses exigences, mais PCI-DSS v4.0 introduira une nouvelle « approche personnalisée ».

PCI-DSS v4.0 vous permet de substituer vos propres contrôles pour répondre aux exigences PCI-DSS à la place d’une exigence définie. Cependant, il est important de reconnaître que cette nouvelle flexibilité ne doit pas être considérée comme une méthode plus simple.

Des règles strictes sur l’utilisation de l’approche personnalisée sont alignées et pour chaque approche personnalisée que vous adoptez.

Une approche personnalisée doit :

  • Définir le contrôle
  • Expliquer son fonctionnement et son entretien
  • Décrivez comment il répond à l’objectif de l’exigence PCI-DSS d’origine

Changements significatifs dans PCI-DSS v4.0

Tests et conformité

Vous devez maintenant démontrer comment l’approche personnalisée a testé que le contrôle a atteint les objectifs. Vous devez également effectuer une évaluation des risques pour chaque exigence similaire.

La conformité prendra toujours la forme d’une évaluation de la conformité, où l’évaluateur de sécurité qualifié (QSA) examinera ces informations et concevra sa propre procédure de test pour l’exigence.

Portée

Bien qu’il ait toujours été de la responsabilité de l’organisation de définir et de documenter la portée de son environnement de données de titulaire de carte (CDE) et de la responsabilité du QSA de le tester, c’est désormais une exigence spécifique dans la v4.0 (12.5.2) que l’entité définisse et documente la portée du CDE. Cela comprend l’identification des flux de données et les contrôles de segmentation.

Processus d’évaluation des risques

Votre organisation ne sera plus tenue de procéder à une évaluation des risques à l’échelle de l’organisation. Cependant, il existe de nouvelles règles relatives aux évaluations ciblées, qui incluent les évaluations des risques des vulnérabilités identifiées et la fréquence à laquelle votre organisation effectue les actions suivantes :

  • Analyses de logiciels malveillants
  • Inspections des appareils au point d’interaction (POI)
  • Formation à la réponse aux incidents
  • Examens des journaux pour les « autres » composants du système
  • Évaluations des composants non exposés aux logiciels malveillants
  • Modifications obligatoires des mots de passe utilisés pour les comptes d’accès aux applications et au système (autorisations élevées)

Environnements de traitement de l’information

Le traitement des informations mis à jour – par exemple v4.0 – reconnaît que les contrôles réseau, en particulier les environnements cloud, n’utilisent pas toujours des routeurs et des pare-feu.

Cette section comprend également l’importance des mots de passe forts, exigeant que les identifiants de connexion des employés comportent au moins 12 caractères (ou huit si votre organisation n’autorise pas les mots de passe plus longs).

De plus, la version 4.0 donne à votre organisation la possibilité de déterminer automatiquement l’accès aux ressources en analysant dynamiquement l’état de sécurité des comptes, plutôt que de changer les mots de passe tous les 90 jours.

Nouvelles exigences dans PCI-DSS v4.0

Les nouvelles règles de PCI-DSS v4.0 incluent l’utilisation obligatoire de :

  • Pare-feu d’applications Web
  • Mécanismes automatisés de protection contre le phishing
  • Mécanismes automatisés pour effectuer des revues de journaux
  • Comptes au niveau de l’application et du système

Il existe également de nombreux changements dans la numérotation et la formulation des exigences, même pour les exigences qui restent les mêmes que la v3.2.1. Pour les organisations qui ont déjà préparé des politiques et des procédures qui renvoient à d’autres exigences spécifiques, cela signifie qu’un examen et une mise à jour approfondis sont nécessaires.

Agissez maintenant avant que les changements n’aient lieu

Nous recommandons aux organisations tenues de se conformer à la norme de sécurité des données de l’industrie des cartes de paiement de commencer dès maintenant à se préparer au déploiement de la v4.0 en mars 2024.

Pour en savoir plus sur les exigences techniques pour répondre à la nouvelle norme v4.0 et réduire l’impact sur vos ressources, contactez notre équipe Gouvernance, Risque et Conformité.