Publication des versions 2.0 des normes PCI-DSS et PA-DSS
- Le PCI-SSC publie les versions 2.0 des normes PCI-DSS et PA-DSS, versions qui prendront effet dès le 1er janvier 2011. Cette évolution vise à favoriser la compréhension et la mise en œuvre de ces normes par les commerçants et en clarifie les termes.
- A titre d’exemple, il est désormais spécifié que les machines virtuelles et autres éléments participant de la visualisation système sont à prendre en considération dans le périmètre des audits PCI-DSS. Un second exemple, la clause 6.2 évolue et porte sur l’établissement d’un processus d’identification et de classement des risques liés a des vulnérabilités récemment découvertes, et non plus sur « [l']identification des nouvelles vulnérabilités de la sécurité ».
- Dans le cas du PA-DSS version 2.0, par exemple, la clause 4.4 portant sur le fait que les applications de paiement doivent favoriser la journalisation centralisée, mentionne la clause PCI-DSS 10.5.3, relative à la facilitation de la sauvegarde rapide des journaux d’audit « sur un serveur centralisé dédié à la journalisation ou sur des supports difficiles à altérer ».
- Le Verizon 2010 Payment Card Industry Compliance Report publié récemment et réalisé entre 2008 et 2009 par les évaluateurs QSA (Qualified Security Assessors, habilités par le PCI-SSC à réaliser des audits PCI), de l’américain Verizon Business, met en évidence le lien entre non-conformité aux normes et compromission des données.
- Ce rapport, centré sur plusieurs entreprises ayant d’ores et déjà entamé leur démarche de mise en conformité PCI-DSS, indique que cette dernière réduit de 50 % le risque d’être victime de compromission de données cartes et qu’au moment de leur première évaluation (Initial Report of Compliance, IROC), 22 % des entreprises remplissaient ces exigences. Le respect de ces normes implique non seulement une mise en œuvre initiale consciencieuse mais également un suivi des évolutions pour les maintenir à niveau.
- Il indique que parmi les 78 % restants (non conformes aux normes PCI lors de l'évaluation initiale), 11 % satisfaisaient environ 70 % des exigences de sécurité et 11 % ne dépassaient pas la barre des 50 %.
source : Verizon 2010 Payment Card Industry Compliance Report
- Il apparaît notamment que trois des plus importantes exigences PCI-DSS sur douze, car particulièrement vulnérables aux failles de sécurité, ne sont pas respectées, à savoir la protection des données stockées, la surveillance et le contrôle d’accès aux ressources réseau et données cartes et les tests réguliers des systèmes et procédures de sécurité. Ce rapport liste les méthodes de compromission les plus courantes. En tête de ce palmarès : introduction de malware par une porte dérobée (25 % des cas), injections SQL (24 %), portes dérobées ou C&C (21 %) et exploitation de droits d'accès par défaut ou simples à déduire (21 %).
- Rappelons que, selon la Banque de France, le taux de fraude à la carte bancaire a augmenté de 17 % en 2009 en France.
-
Au Royaume-Uni, les commerçants de niveau 1 (L-1) traitant plus de six
millions de transactions par carte Visa ou MasterCard par an, doivent
depuis le 30 septembre 2010 se conformer à la version 1.2 du guide
PCI-DSS. S’ils sont dans l’impossibilité de démontrer qu’ils remplissent
ces exigences leurs acquéreurs risquent des pénalités.