Norme de sécurité des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS)
Entrust peut aider à simplifier la conformité à la norme PCI DSS et l’effort d’audit
Exigences de la norme PCI DSS
Toute organisation jouant un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité à la norme PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Les HSM Entrust nShield™ peuvent aider les organisations manipulant des données de titulaires de carte à respecter plusieurs aspects de la conformité, de l’audit et de la certification PCI DSS, notamment :
Exigence 3
Protéger les données des titulaires de carte stockées.
Exigence 7
Restreindre l’accès aux données des titulaires de carte aux cas de nécessité absolue.
Exigence 8
Identifier et authentifier l’accès aux composants du système
Règlement
Plus de 200 tests de certification PCI DSS selon six principes fondamentaux
La norme PCI DSS implique une évaluation par rapport à plus de 200 tests qui relèvent de 12 domaines de sécurité généraux représentant six principes fondamentaux. Ces tests PCI DSS couvrent une grande variété de pratiques de sécurité courantes ainsi que des technologies telles que le chiffrement, la gestion des clés et d’autres techniques de protection des données.
Risques associés à l’audit et à la conformité à la norme PCI DSS
- Le non-respect des exigences de conformité à la norme PCI DSS peut entraîner des amendes, une augmentation des frais voire une incapacité à traiter les transactions par carte de paiement.
- Le respect de la norme PCI DSS ne peut être considéré isolément ; les organisations sont soumises à de multiples obligations de sécurité et à de nombreuses lois ou réglementations régissant la divulgation des violations de données. D’un autre côté, les projets de conformité PCI peuvent facilement se voir reléguer au second plan par rapport à des initiatives de sécurité d’entreprise plus larges.
- Les orientations et recommandations liées aux exigences PCI DSS incluent des pratiques courantes qui sont probablement déjà en place. Cependant, certains aspects, en particulier ceux associés au chiffrement, peuvent être nouveaux pour l’organisation. Quant aux implémentations, elles peuvent être perturbatrices et nuire à l’efficacité opérationnelle si elles ne sont pas correctement prévues.
- Il existe des possibilités de réduire la portée des obligations de conformité PCI DSS et donc les coûts et l’impact. Cependant, les organisations peuvent perdre du temps et de l’argent si elles ne veillent pas suffisamment à ce que les nouveaux systèmes et processus soient de fait acceptés comme étant conformes à la norme PCI DSS.
Conformité
Répondre aux exigences clés de la norme PCI DSS
Forts de plusieurs décennies d’expérience à aider les banques et les institutions financières à se conformer aux obligations de l’industrie, Entrust et ses partenaires proposent des produits et services qui vous permettent de protéger les données de titulaires de carte stockées, de les chiffrer en vue de leur transfert et d’en restreindre l’accès aux cas de nécessité absolue.
- Protéger les données des titulaires de carte. Entrust travaille avec les principales solutions d’acceptation de paiement des appareils mobiles (mPOS) ainsi que les principales solutions de protection des données de paiement pour protéger les données des titulaires de carte et garantir la conformité PCI DSS. Les commerçants doivent également déployer le chiffrement réseau et le chiffrement SSL/TLS pour protéger les données en transit.
- Mettre en œuvre des mesures solides de contrôle d’accès. Toutes les techniques de protection des données vont de pair avec des contrôles d’accès. Les technologies cryptographiques telles que PKI et certificats numériques sont largement utilisées pour dépasser la seule sécurité par mot de passe pour l’authentification des utilisateurs et des systèmes. En outre, l’utilisation des HSM Entrust nShield pour contrôler l’accès aux clés de déchiffrement des données signifie que les données ne peuvent être déchiffrées qu’en cas de nécessité absolue.
- Construisez et entretenez un réseau sécurisé. Outre le chiffrement au niveau du réseau, une autre composante essentielle de la sécurité du réseau est l’authentification forte des périphériques. Les informations d’identification numériques sont de plus en plus utilisées au niveau des appareils pour contrôler l’accès au réseau et elles constituent une considération de sécurité importante pour une PKI d’entreprise.
- Maintenir un programme de gestion des vulnérabilités. L’augmentation des attaques persistantes avancées qui tentent de corrompre les applications professionnelles en injectant des logiciels malveillants a mis en avant l’utilisation des signatures numériques et de la signature de code en tant que moyen de prouver l’intégrité et l’authenticité des systèmes d’entreprise et des logiciels d’application.
- Maintenir une politique de sécurité de l’information. La norme PCI DSS met l’accent sur une séparation claire des tâches entre les membres du personnel afin de minimiser le risque d’attaque en interne. L’utilisation de la cryptographie fournit un mécanisme puissant pour appliquer cette séparation et pour créer un enregistrement fiable des événements afin de démontrer la conformité.
Ressources
Brochures : Brochure de la famille des HSM Entrust nShield
Les HSM Entrust nShield offrent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la génération de clés et leur protection, le chiffrement, etc. Disponibles selon trois facteurs de forme certifiés FIPS 140-2, les HSM Entrust nShield conviennent pour de nombreux scénarios de déploiement.
Solutions connexes
Règlement DSP2 (Directive européenne sur les services de paiement)
Protégez les données sensibles dans l’environnement PSD2.