Machine Translated by Google

EN UN COUP D'OEIL
APERÇU DES NORMES

Normes de sécurité du secteur des cartes de paiement

Les normes de sécurité PCI sont des
exigences techniques et opérationnelles définies
par le Conseil des normes de sécurité de l'industrie
des cartes de paiement pour protéger les données
des titulaires de carte. Les normes régissent globalement
tous les commerçants et organisations qui stockent,
traitent ou transmettent ces données, et incluent des
exigences spécifiques pour les développeurs de
logiciels et les fabricants d'applications et
d'appareils utilisés dans le processus de transaction.
Le respect des normes de sécurité PCI est assuré
par les principales marques de cartes de paiement qui
ont créé le Conseil : American Express, Discover
Financial Services, JCB International,
MasterCard Worldwide et Visa Inc.

Les normes PCI incluent :

Norme de sécurité des données PCI : la norme PCI DSS s'applique à toute entité qui stocke, traite Norme de sécurité des données des applications de paiement : le PA­DSS est destiné aux
et/ou transmet les données des titulaires de carte. Il couvre les composants techniques et opérationnels développeurs de logiciels et aux intégrateurs d'applications qui stockent, traitent ou transmettent les
du système inclus ou connectés aux données du titulaire de la carte. Si votre entreprise données des titulaires de carte dans le cadre d'une autorisation ou d'un règlement. Il régit ces applications
accepte ou traite les cartes de paiement, elle doit se conformer à la norme PCI DSS. vendues, distribuées ou concédées sous licence à des tiers.

Exigences de sécurité des transactions PIN : La norme PCI PTS s'applique aux fabricants qui
spécifient et mettent en œuvre les caractéristiques et la gestion des appareils pour les terminaux de
saisie de numéros d'identification personnels (PIN) utilisés pour les transactions financières par
carte de paiement.

Fondateurs du PCI SSC Norme de sécurité des données PCI pour les commerçants et les sous­traitants
La norme PCI DSS est la norme mondiale de sécurité des données à laquelle toute entreprise, quelle que soit sa taille, doit adhérer pour accepter les
cartes de paiement. Il présente des étapes de bon sens qui reflètent les meilleures pratiques de sécurité.

Objectifs Exigences PCI DSS

Construire et entretenir un 1. Installez et maintenez une configuration de pare­feu pour protéger les données des titulaires de carte
Réseau sécurisé
2. N'utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres
paramètres de sécurité.

Protéger le titulaire de la carte 3. Protégez les données stockées

Données
4. Crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts

Maintenir une vulnérabilité 5. Utilisez et mettez régulièrement à jour des logiciels ou des programmes antivirus
Programme de gestion 6. Développer et maintenir des systèmes et des applications sécurisés

Mettre en œuvre des mesures fortes 7. Restreindre l'accès aux données des titulaires de carte en fonction des besoins de l'entreprise
Contrôle d'accès
8. Attribuez un identifiant unique à chaque personne ayant accès à l'ordinateur
Mesures
9. Restreindre l'accès physique aux données du titulaire de la carte

Surveiller régulièrement et 10. Suivez et surveillez tous les accès aux ressources du réseau et aux données des titulaires de carte
Réseaux de test
11. Testez régulièrement les systèmes et processus de sécurité
Organisations participantes
Conserver une information 12. Maintenir une politique qui traite de la sécurité des informations pour tout le personnel
Commerçants, banques, processeurs,
Politique de sécurité
développeurs et vendeurs de points de vente
Machine Translated by Google
Programme de conformité
Évaluer
Testez et vérifiez les contrôles en place pour
protéger les données des titulaires de carte
pendant le stockage, le traitement et la transmission.
Les systèmes et les données doivent être
disponibles pour l’analyse.
Rapports
Valider la conformité et présenter la preuve
que des contrôles de protection des données sont en
place.
Surveillance et alerte
Mettez en œuvre des systèmes qui fournissent des
alertes automatiques pour surveiller en permanence
l’accès et l’utilisation des données.
Étendez les contrôles du système pour inclure la
collecte et le stockage des données de journaux.
© 2010 Conseil des normes de sécurité PCI LLC. L'objectif de ce document est de fournir des informations
supplémentaires, qui ne remplacent ni ne remplacent les normes de sécurité PCI SSC ou leurs documents justificatifs.
Comment se conformer à la norme PCI DSS
Le Conseil des normes de sécurité PCI définit les normes de sécurité PCI, mais chaque marque de carte de paiement possède son propre programme
de conformité. Les questions spécifiques concernant la conformité doivent être adressées à votre institution financière acquéreuse. Les liens vers le
programme de conformité des marques de cartes de paiement incluent : • American Express :
www.americanexpress.com/datasecurity
• Découvrez les services financiers : www.discovernetwork.com/fraudsecurity/disc.html
• JCB International : www.jcb­global.com/english/pci/index.html
• MasterCard dans le monde : www.mastercard.com/sdp
• Visa Inc : www.visa.com/cisp (États­Unis)
Évaluateurs qualifiés. Le Conseil propose des programmes pour deux types de certifications : évaluateur de sécurité qualifié (QSA) et fournisseur
de numérisation agréé (ASV). Les QSA sont des entreprises qui aident les organisations à examiner la sécurité de leurs systèmes de transactions
de paiement et disposent d'un personnel et de processus formés pour évaluer et valider la conformité aux normes PCI DSS et PA­DSS. Les ASV
fournissent des outils logiciels commerciaux et des services d'analyse pour effectuer des analyses de vulnérabilité certifiées pour vos systèmes. Le
PCI SSC fournit également des ressources pédagogiques pour sensibiliser davantage les commerçants et les prestataires de services à la
sécurité, y compris une formation pour les évaluateurs de sécurité interne (ISA). Des détails supplémentaires peuvent être trouvés sur notre
site Web à l'adresse : www.
pcisecuritystandards.org.
Questionnaire d'auto­évaluation (SAQ). Le SAQ est un outil de validation destiné aux commerçants et prestataires de services éligibles qui auto­
évaluent leur conformité PCI DSS. Différents SAQ sont disponibles pour différents environnements commerciaux ; plus de détails peuvent être
trouvés sur notre site Web à l'adresse : www.pcisecuritystandards.org, ou contactez l'institution financière ou la marque de paiement acquéreuse pour
déterminer si vous devez remplir un SAQ.
Norme de sécurité des données des applications de paiement pour les développeurs
Le PA­DSS minimise les vulnérabilités des applications de paiement. L’objectif est d’empêcher la compromission des données complètes de la bande
magnétique situées au dos d’une carte de paiement ou des données équivalentes provenant d’une puce. PA­DSS couvre les applications de paiement
commerciales, les intégrateurs et les prestataires de services. Les commerçants et les prestataires de services doivent utiliser des applications
de paiement certifiées et doivent vérifier auprès de leur institution financière acquéreuse pour comprendre les exigences et les délais de
conformité associés.
Exigences DSS pour les demandes de paiement – Validées par l’évaluation PA­QSA
1. Ne conservez pas la bande magnétique complète, la carte 8. Faciliter la mise en œuvre d’un réseau sécurisé
code ou valeur de vérification (CAV2, CID, CVC2,
CVV2), ou données de bloc PIN
2. Protégez les données stockées des titulaires de carte 9. Les données du titulaire de la carte ne doivent jamais être
stockées sur un serveur connecté à Internet
3. Fournir des fonctionnalités d'authentification sécurisées 10. Faciliter l'accès à distance sécurisé à l'application de paiement
4. Enregistrez l'activité des applications de paiement 11. Chiffrer le trafic sensible sur les réseaux publics
5. Développer des applications de paiement sécurisées 12. Chiffrer tous les accès administratifs hors console
6. Protégez les transmissions sans fil 13. Conserver la documentation pédagogique et
programmes de formation pour les clients, les revendeurs et les
intégrateurs
7. Testez les applications de paiement pour corriger 14. Conserver la documentation pédagogique et
les vulnérabilités programmes de formation pour les clients, revendeurs et
intégrateurs
Exigences de sécurité des transactions PIN (PTS) pour les fabricants
Cette norme, appelée PTS, s'applique aux entreprises qui fabriquent des appareils acceptant la saisie d'un numéro d'identification personnel
(PIN) pour toutes les transactions basées sur un code PIN. Les commerçants et les fournisseurs de services doivent utiliser des appareils approuvés
par le PTS et doivent vérifier auprès de leur institution financière acquéreuse pour comprendre les exigences et les délais de conformité
associés.
Regroupements de modules d'évaluation PTS
Module d'évaluation Ensemble d'exigences
1. Exigences de base Sécurité physique et logique
2. Intégration du terminal de point de vente Intégration du terminal POS
3. Protocoles ouverts 4. Protocoles ouverts
Lecture et échange de données sécurisés Exigences relatives au cryptage des données des comptes de titulaires de
carte
5. Gestion des appareils Gestion des appareils (fabrication et chargement initial des clés)
Octobre 2010