La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité largement reconnues auxquelles les organisations doivent se conformer lorsqu'elles traitent des informations relatives aux cartes de crédit. Le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) supervise la norme PCI DSS depuis 2004, date à laquelle elle a été établie par American Express, Visa, Mastercard, Discover Financial Services et JCB International.
Le 31 mars 2022, le Conseil des normes de sécurité PCI (PCI SSC) a publié la version 4.0 des normes de sécurité des données PCI (PCI DSS). PCI DSS v4.0 entre en vigueur le 31 mars 2024 et remplace la version 3.2.1 de PCI DSS afin de mieux prendre en compte et combattre les menaces et technologies émergentes. Comme pour toutes les versions précédentes, PCI SSC a fixé un calendrier de mise en œuvre pour le moment où les organisations sont censées passer à la nouvelle norme 4.0 et le moment où la nouvelle norme sera obligatoire :
Les mises à jour de la norme PCI DSS v4.0 visent à répondre à l'évolution des besoins de sécurité du secteur des paiements, à promouvoir la sécurité en tant que processus continu, à accroître la flexibilité et à améliorer les procédures pour les organisations qui utilisent différentes méthodes pour atteindre leurs objectifs de sécurité. La nouvelle génération de la version PCI DSS vise à atteindre les cinq objectifs suivants objectifs:
1. Accent mis sur la culture de la sécurité et la gouvernance
L'un des principaux changements de la version 4.0 de la norme PCI DSS consiste à mettre davantage l'accent sur la culture et la gouvernance de la sécurité. La nouvelle version exigera des organisations qu'elles d'établir et de maintenir une culture de sécurité formelle qui favorise la sensibilisation à la sécurité et la responsabilité. Les organisations devront également devront également de disposer d'une stratégie de sécurité documentée et de politiques et procédures de sécurité formelles.
2. Tests de pénétration et gestion de la vulnérabilité
La version 4.0 de la norme PCI DSS introduira de nouvelles exigences en matière de tests de pénétration et de gestion des vulnérabilités. Les organisations devront d'effectuer des tests de pénétration plus fréquemment et d'utiliser les dernières méthodologies de test de pénétration standard du secteur. En outre, les organisations devront mettre en œuvre des programmes de gestion des vulnérabilités plus robustes, y compris l'analyse régulière des systèmes et l'application de correctifs.
3. Authentification et contrôles d'accès renforcés
Un autre changement important dans la version 4.0 de la norme PCI DSS est l'exigence d'une authentification et de contrôles d'accès renforcés. Il s'agira notamment d'utiliser une authentification multifactorielle pour tous les accès aux systèmes et d'utiliser des mots de passe et des mécanismes d'authentification complexes. En outre, les organisations devront mettre en place des contrôles plus stricts pour l'accès à distance aux systèmes.
4. Nouvelles exigences pour les environnements en nuage et de virtualisation
La version 4.0 de la norme PCI DSS introduira également de nouvelles exigences pour les organisations qui utilisent des environnements en nuage et de virtualisation. Les organisations devront s'assurer que leurs environnements d'informatique en nuage et de virtualisation sont sécurisés et qu'elles utilisent les éléments suivants sécurité appropriés appropriés.
5. Des exigences plus strictes pour les prestataires de services
Les prestataires de services seront également confrontés à de nouvelles exigences dans le cadre de la norme PCI DSS 4.0. Ils devront devront de mettre en œuvre des mesures de sécurité supplémentaires mesures de sécurité supplémentaires pour protéger les données des titulaires de cartes de leurs clients, y compris le cryptage et l'authentification multifactorielle. Ils devront également devront également de fournir des rapports plus détaillés sur leur conformité à la norme.
Que fait Keyfactor pour se préparer ?
En février 2023, Keyfactor a obtenu la certification PCI DSS v3.2. KeyfactorLa capacité d'identité et d'intégrité numériques de PKI prend en charge toutes les facettes de la confiance numérique pour les appareils qui traitent, stockent et/ou transmettent les données des titulaires de cartes. Bien que Keyfactor ne traite pas directement les données sensibles des titulaires de cartes, nombre de ses clients le font. Grâce à cette certification, les clients de Keyfactor continueront à prévenir les violations de données et à protéger davantage les informations sensibles relatives aux cartes de crédit de leurs clients.
Keyfactor s'engage à placer la sécurité de ses clients au premier plan, et une partie de cet engagement consiste à respecter les normes mondiales actuelles et futures de l'industrie. En tant que société de cybersécurité travaillant avec des entreprises dans des secteurs réglementés, Keyfactor est responsable de la protection des données et des systèmes.
Pour en savoir plus sur les engagements de Keyfactoren matière de sécurité et de conformité, veuillez consulter le site : https://www.keyfactor.com/security-compliance/
