PCI DSS : êtes-vous prêt pour la prochaine évolution ?
La prochaine évolution du standard PCI DSS (Payment Card Industry Data Security Standard) annoncée pour octobre 2013, impose aux entreprises de devoir s’adapter à de nouvelles technologies de traitement et de stockage des transactions financières. Problèmes en vue !
Si la conformité à PCI DSS participe à renforcer la sécurité des entreprises, la sécurité à proprement parler ne se résume pas à satisfaire les exigences des auditeurs internes. Elle suppose d’appréhender parfaitement les risques et de les maîtriser en permanence.Gabriel Leperlier, responsable de l’activité PCI DSS en France de Verizon, et Nicolas Villatte, de l’équipe RISK de Verizon, ont longuement débattu de l’importance de la conformité au standard PCI DSS et du lien constaté entre le défaut de conformité et l’augmentation du risque de compromissions des données.
Or, selon ces experts, quelques principes simples permettraient aux entreprises d’affiner leur compréhension de PCI DSS, condition essentielle à la réussite de leur projet de mise en conformité. Depuis les premières évaluations jusqu’à la mise en place, des mesures qui s’imposent.
Les voici :
- S’y mettre au plus vite
- Limiter le champ d’application
Il faut absolument isoler le plus possible l’environnement où transitent les données des porteurs de cartes, en installant des pare-feu entre les différents sous-réseaux. Cela tombe sous le sens. Mais la tâche est parfois ardue, en particulier pour les entreprises dont la stratégie de protection s’est historiquement limitée au périmètre de sécurité.
- Ne garder que l’essentiel
- Garder à l’esprit la finalité des contrôles
- Obtenir l’adhésion de toutes les parties prenantes
- Rester vigilant
Le niveau d’exigences PCI DSS est tel qu’il ne laisse aucune place à l’improvisation et appelle à la plus grande vigilance. Il faudra peut-être aussi que les entreprises revoient certaines de leurs pratiques métier ou de leurs technologies habituelles de mise en conformité. Il est donc recommandé d’étudier de très près tout projet de conformité PCI DSS avant de se lancer.
Veiller à la conformité des fournisseurs
Car ce standard ne tolère pas la demi-mesure ! Tous les fournisseurs et prestataires de services impliqués dans le traitement des données des porteurs de cartes de paiement doivent y adhérer.
En effet, c’est l’entreprise détentrice des données qui engage sa responsabilité, même si elle en externalise le traitement.
Documenter la moindre initiative
Les entreprises n’ont donc d’autre choix que de documenter soigneusement tous les contrôles qu’elles mettent en œuvre et de veiller à ce que les contrôles soient conformes à la documentation qui en est faite tout au long du projet.