Press release

Le Conseil de Normes de Sécurité PCI Lance le Standard 3.2

0 0
Sponsorisé par Business Wire

— La Tendance aux Violations de Données Entraîne des Modifications du Standard Mondial de Sécurité des Paiements — WAKEFIELD, Massachusetts–(BUSINESS WIRE)–Le Conseil de Normes de Sécurité PCI (PCI SSC) a publié aujourd’hui une nouvelle version de son standard de sécurité des données, utilisé partout dans le monde pour la protection des données de paiement avant,

— La Tendance aux Violations de Données Entraîne des Modifications du
Standard Mondial de Sécurité des Paiements —

WAKEFIELD, Massachusetts–(BUSINESS WIRE)–Le Conseil de Normes de Sécurité PCI (PCI SSC) a publié aujourd’hui une
nouvelle version de son standard de sécurité des données, utilisé
partout dans le monde pour la protection des données de paiement avant,
pendant et après une transaction d’achat. La version 3.2 du standard de
sécurité des données PCI (PCI DSS) remplace la version 3.1 en réponse
aux menaces croissantes planant sur les informations relatives au
paiement du client. Les sociétés qui acceptent, traitent et reçoivent
des paiements devront l’adopter le plus vite possible pour empêcher,
détecter et répondre aux cyber-attaques pouvant aboutir à des
violations. La version 3.1 expirera le 31 octobre 2016.

« L’industrie des paiements reconnaît le PCI DSS comme un standard
mature, donc les changements principaux de la version 3.2 sont des
clarifications d’exigences qui aident les organisations à confirmer que
les contrôles de sécurité des données critiques sont en place toute
l’année, et qu’ils sont réellement testés dans le contexte d’un
processus continu de surveillance, » commente le Directeur Général du
Conseil de Normes de Sécurité, Stephen Orfei. « Cela implique de
nouvelles exigences pour les administrateurs et les prestataires de
services, et pour les environnements de données des titulaires qu’ils
doivent protéger. Le standard PCI DSS 3.2 recommande aux organisations
de se concentrer sur les gens, les processus et les procédures, laissant
un rôle important à la technologie pour réduire globalement la
sauvegarde des données du titulaire. »

La mise à niveau au standard fait partie du processus ordinaire pour
s’assurer que le PCI DSS réponde aux défis et aux menaces actuels. Ce
processus rassemble par le Conseil du PCI les retours de plus de 700
organisations participant dans le monde, ainsi que des conclusions de
rapport de violations de données et des changement dans l’acceptation de
paiements.

« Nous avons vu une augmentation d’attaques qui contournent un seul
point de défaillance, permettant aux criminels d’accéder au système sans
être découverts, et de compromettre l’intégrité des données. Un
changement significatif du PCI DSS 3.2 implique l’authentification
multi-facteurs obligatoire pour tout le personnel ayant un accès
administrateur aux environnements traitant les données de la carte.
Cette exigence était auparavant uniquement requise en cas d’accès à
distance via des réseaux non-sécurisés. Un mot-de-passe seul ne devrait
pas suffire pour vérifier l’identité de l’administrateur et donner accès
à des informations sensibles, » dit Troy Leach, Directeur de la
Technologie du Conseil de Normes de Sécurité. « En outre, les
prestataires de services, et particulièrement ceux qui rassemblent de
gros volumes de données de cartes, continuent à courir des risques. PCI
DSS 3.2 inclus une série de mises à jour visant à aider ces entités à
démontrer que de bonnes pratiques de sécurité sont en place et
efficaces. »

Les principaux changements du PCI DSS 3.2 incluent :

  • Révision de la couches de sockets sécurisés (SSL) et de la validité de
    sécurité dans la couche transport (TLS), comme indiqué dans le Bulletin
    sur la Migration du SSL et TLS
  • Élargissement de l’exigence 8.3 pour y inclure l’utilisation de
    l’authentification multi-facteurs pour les administrateur ayant accès
    à l’environnement de données du titulaire
  • Étapes de validation de sécurité additionnelles pour les prestataires
    de services et autres, incluant le critère de validation
    complémentaire des entités désignées (DESV), qui consistait auparavant
    en un document distinct

Une version intégrale du nouveau standard de sécurité des données PCI
version 3.2, incluant un document résumant les changements est
disponible sur : https://www.pcisecuritystandards.org/document_library.

Blogues Perspectives PCI PCI
DSS 3.2: Quoi de neuf?
fourni plus d’information sur les changements
du standard et des documents connexes. Le blogue indique également des
sources supplémentaires pour comprendre et appliquer le PCI DSS version
3.2.

Leach ajouta, « En avançant, nous anticipons des révisions progressives
comme celles de la version 3.2 pour répondre à l’évolution des menaces
du monde du paiement, en se focalisant sur l’aide fournie aux sociétés
pour utiliser ce standard comme un cadre propice à une sécurité
quotidienne et aux bonnes pratiques dans les affaires. »

A propos du Conseil de Normes de Sécurité PCI
Le
Conseil de Normes de Sécurité PCI
est un forum mondial responsable
pour le développement, la gestion, la formation et la sensibilisation au
Standard de Sécurité des Données PCI (PCI DSS) ainsi que d’autres
standards améliorant la sécurité des données de paiement. Rejoignez le
Conseil PCI sur LinkedIn.
Joignez la conversation sur Twitter @PCISSC.
Souscrivez au blogue PCI
Perspectives.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d’origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

Conseil de Normes de Sécurité PCI
Laura K. Johnson
press@pcisecuritystandards.org
Twitter
@PCISSC