—La version PCI DSS 3.2.1 inclut des mises à jour mineures pour tenir
compte des premières dates SSL/TLS qui sont déjà passées—
WAKEFIELD, Massachusetts–(BUSINESS WIRE)–Aujourd’hui, le PCI Security Standards Council (PCI SSC) a publié une
révision mineure de la norme PCI Data Security (PCI DSS), utilisée par
les entreprises du monde entier pour protéger les données des cartes de
paiement avant, pendant et après l’achat. La version 3.2.1 de PCI DSS
remplace la version 3.2 pour tenir compte des dates d’entrée en vigueur
et des délais de migration des Secure
Socket Layer (SSL)/ Transport Layer Security (TLS) précoce. qui sont
déjà passés. Aucune nouvelle exigence n’est ajoutée dans la PCI DSS
v3.2.1. La norme PCI DSS v3.2 reste valable jusqu’au 31 décembre 2018 et
sera supprimée à compter du 1er janvier 2019.
« Cette mise à jour est conçue pour éliminer toute confusion autour des
dates d’entrée en vigueur des exigences du PCI DSS introduites dans la
version 3.2, ainsi que des dates de migration SSL/TLS précoce », a
déclaré Troy Leach, directeur technique de PCI SSC. « Il est extrêmement
important que les organisations désactivent le SSL/TLS précoce et le
mettent à niveau vers une alternative sécurisée pour sauvegarder leurs
données de paiement ».
Les modifications mineures apportées à la norme PCI DSS v3.2.1 reflètent
la manière dont les exigences existantes sont affectées une fois que les
dates d’entrée en vigueur et les délais de migration SSL/TLS sont
passés, afin que les organisations puissent indiquer avec précision
comment leurs implémentations répondent aux actuelles exigences après le
30 juin. Plus précisément, les changements comprennent :
-
La suppression des notes faisant référence à une date d’entrée en
vigueur le 1er février 2018 pour les exigences applicables, car cette
date est dépassée. -
Les mises à jour des exigences applicables et l’annexe A2 pour
refléter le fait que seuls les terminaux points de vente (TPV/POI)
(point d’interaction) et les points de connexion de leurs fournisseurs
de services peuvent continuer à utiliser les SSL/TLS précoces comme
contrôle de sécurité après le 30 juin 2018. -
La suppression de l’authentification
multi-facteurs (MFA) de l’exemple de contrôle de compensation dans
l’Annexe B, comme la MFA est désormais requise pour tous les accès
administratifs hors consoles ; ajout de mots de passe à usage unique
en tant que contrôle potentiel alternatif pour ce scénario.
Les mises à jour de PCI DSS v3.2.1 n’affectent pas la norme de sécurité
des données d’application de paiement (PA-DSS), qui restera à la v3.2.
La version PCI DSS 3.2.1 et un résumé des modifications de la version
3.2 à la version 3.2.1 sont désormais disponibles dans la bibliothèque
de documents sur le site web de PCI SSC. Des versions mises à jour
du supplément d’information sur la migration depuis le SSL et le TLS
précoce, des questionnaires d’autoévaluation (QAE) et des instructions
et des lignes directrices des QAE seront publiées sous peu pour prendre
en charge la norme PCI DSS v3.2.1.
Pour plus d’informations, lisez les Q & R du blog sur les perspectives
du PCI avec Troy Leach, directeur technique : PCI
DSS maintenant et pour l’avenir.
À propos du PCI Security Standards Council
Le PCI
Security Standards Council (PCI SSC) mène une action
interprofessionnelle mondiale pour accroître la sécurité des paiements
en créant des normes et des programmes de sécurité des paiements souples
et efficaces ayant pour but d’aider les commerces à détecter, minimiser
et prévenir les failles de sécurité et les cyberattaques. Connectez-vous
avec le PCI SSC sur LinkedIn.
Participez au débat sur Twitter @PCISSC.
Abonnez-vous au blog
PCI Perspectives.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d’origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter:
@PCISSC