Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews

Conformité : nouvelles directives du PCI-SSC sur la tokenisation

  • Le PCI-SSC publie de nouvelle lignes directrices quant à la mise en œuvre de mesures liées à la tokenisation des données.
  • Les commerçants doivent se plier à divers impératifs à présent décrits dans cette publication dédiée : PCI-DSS Tokenization Guidelines. Aussi, disposent ils d’un référentiel explicitant le déploiement de ces technologies afin de proscrire le stockage et l’acheminement des PAN sur les SI.
  • Selon l’organisme de normalisation, dans la mesure où l’utilisation de jetons permet de limiter le stockage des données cartes, les efforts de mise en conformité PCI-DSS peuvent s’en trouver réduits. Il précise que les organismes / établissements de plus grande envergure, ayant à charge la gestion de systèmes plus complexes ne constateront pas une réduction drastique de leur processus d’évaluation (ou de leur IROC). Aussi, les dispositifs internalisés se prêtent moins à la réduction du champ d’évaluation que les systèmes hybrides et externalisés. Enfin, la prise en compte de ces nouvelles lignes directrices n’exclut pas la nécessité de mise en conformité PCI-DSS et les jetons (au même titre que les autres données) doivent être inutilisables en cas de récupération.
  • Ce nouveau document reflète les bonnes pratiques listées par Visa dans son guide publié en juillet 2010.
Voir l’Observatoire de juillet 2010
  • Rappelons que ces principes complètent les mesures listées au titre de la certification PCI-DSS et ne les supplantent pas. Jusqu’à présent, la diversité des technologies employées pour chiffrer des tokens semait le doute quant aux besoins effectivement adressés.
  • En juillet 2010, le guide publié par Visa insistait sur la nécessité de limiter les quantités de données non chiffrées, donc vulnérables. Cette publication suivait la parution, en octobre 2009, d’un guide dédié au chiffrement des données cartes (Visa Best Practices for Data Field Encryption).
  • Rappelons qu’au centre des préoccupations, se trouvent quatre composantes jugées nécessaires pour une tokenisation effective : la génération des jetons, leur mappage, le stockage des données cartes et la gestion des clés de chiffrement.
  • Ce même guide rappelle qu’aucune donnée servant à l’authentification du porteur (contenu de la piste, CVx2, PIN, etc.) ne doit être stockée une fois l’autorisation reçue.