La norme de sécurité PCI DSS

blog-06.jpg

La norme PCI DSS (Payment Card Industry Data Security Standard) a été développée par PCI pour encourager et renforcer la sécurité des données de titulaires de carte bancaire. PCI a été fondée en 2006 par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, les acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Cette norme est au programme du CISSP, notamment dans le domaine 1 du programme. Cet article propose une synthèse des principaux éléments à connaître.

Champ d’application

Les données « cartes bancaires » au sens PCI DSS sont regroupées en deux catégories :

  • Les données du titulaire de la carte: PAN, numéro de compte primaire (Primary Account Number), nom de la personne, date d’expiration de la carte et code de service.
  • Les données d’identification sensibles: données de bande magnétique, numéros CAV2, CV2, CVV2, CID, codes / blocs PIN.

PCI DSS s’applique à l’environnement CDE (cardholder data environment )qui correspond aux personnes, processus et technologies ayant un rôle ou une fonction pour stocker, traiter ou transmettre ces données. En termes d’infrastructure, il faut prendre en compte l’ensemble des composants : serveurs d’authentification, firewalls, hyperviseurs, routeurs, commutateurs, bases de données, serveurs DNS, serveurs de temps, applications et plus généralement tout composant situé à l’intérieur du CDE ou connecté au CDE. La définition du périmètre est fondamentale. L’entité évaluée doit démontrer et documenter comment ce périmètre est défini. Cette documentation doit inclure une description précise des flux de données « cartes bancaires  ». En termes de segmentation réseau, pour qu’un composant soit considéré hors du CDE, il faut pouvoir établir qu’en cas de compromission de ce composant, le CDE ne serait pas impacté.

Si l’entité utilise un (ou des) sous-traitant(s) pour le stockage, le traitement, la transmission des données « cartes bancaires » ou l’administration des composants du CDE, il faut prouver que ces prestataires sont conformes PCI DSS. Soit le prestataire dispose déjà de sa conformité PCI DSS, soit il faudra inclure l’évaluation du prestataire à l’audit de l’entité.

Processus d’évaluation

Le processus d’évaluation comprend les étapes suivantes :

  • Vérifier le périmètre d’évaluation et la définition du CDE.
  • Evaluer la sécurité de l’environnement en suivant les procédures de test détaillées dans la norme.
  • Etablir le rapport d’évaluation (soit l’auto-évaluation, soit le ROC - Report on Compliance en fonction de ce qui est requis) comprenant le détail des contrôles et des documents (par exemple les rapports de scan en vulnérabilités par un outil certifié ASV (Approved Scanning Vendor).
  • Compléter l’attestation de conformité (de type prestataires de services ou commerçants).
  • Envoyer le rapport d’évaluation, l’attestation de conformité et les annexes à l’acquéreur (dans le cas de commerçants), à la marque de carte de paiement ou à tout autre demandeur (dans le cas de prestataires de services).
  • Effectuer le cas échéant les actions pour traiter les conditions qui ne sont pas en place, et fournir un rapport mis à jour.

Evaluation de la sécurité

Les exigences de la norme sont regroupées dans 12 grands domaines appelés conditions PCI DSS rappelés ci-dessous :

  • Installer et gérer une configuration de pare-feu pour protéger les données de titulaires de carte.
  • Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur.
  • Protéger les données de titulaires de carte stockées.
  • Crypter la transmission des données de titulaires de carte sur les réseaux publics ouverts.
  • Protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les logiciels anti-virus ou programmes.
  • Développer et maintenir des systèmes et des applications sécurisés.
  • Restreindre l’accès aux données de titulaires de carte aux seuls individus qui doivent les connaître.
  • Identifier et authentifier l’accès aux composants de système.
  • Restreindre l’accès physique aux données de titulaires de carte.
  • Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données de titulaires de carte.
  • Tester régulièrement les processus et les systèmes de sécurité.
  • Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnel.

Pour chacun de ses 12 domaines, la norme détaille :

  • Les règles de sécurité à appliquer.
  • Les procédures de test qui doivent être suivies par l’évaluateur.
  • Les directives définissant les buts et objectifs de chaque règle de sécurité.

Par exemple dans le domaine 1, on trouve la règle de sécurité 1.1.7 : « Exigence d’analyse des règles concernant les firewalls et les routeurs au moins tous les six mois ». Deux procédures de tests sont définies pour cette règle :

  • Vérifier que les normes de configuration des firewalls et des routeurs exigent l’examen des règles des pare-feu et des routeurs au moins tous les six mois
  • Examiner la documentation relative aux examens des règles interroger le personnel responsable pour vérifier que les règles sont passées en revue au moins tous les six mois.

La directive (objectif) liée à cette règle est « Cet examen donne à l’organisation une occasion, au moins tous les six mois, d’éliminer les règles superflues, obsolètes ou incorrectes et de s’assurer que toutes les règles n’admettent que les services et les ports autorisés correspondants aux besoins documentés de l’activité. Les organisations qui connaissent un volume important de changement de règles de pare-feu et de routeur peuvent souhaiter effectuer des analyses plus fréquemment, pour s’assurer que les règles continuent de répondre aux besoins de l’entreprise ».

Les documents qui détaillent ces exigences sont disponibles sur le site PCI.

Liens avec d’autres normes

Les autres normes maintenues par PCI sont :

  • PCI PTS (PIN transaction Security) pour les terminaux de paiement.
  • PA-DSS (Payement Application) pour les logiciels qui stockent, traitent ou transmettent des données « cartes bancaires ».
  • P2P Encryption pour les solutions de chiffrement.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: Cybersécurité CISSP PCI DSS ASV QSA