Toutes les sociétés dont les activités consistent à traiter, stocker et transmettre des données de transactions et des cartes bancaires (commerçants, banques, opérateurs ou points de vente par exemple) doivent se conformer à la norme PCI DSS afin de conserver leur statut de membre et être habilité à accepter les cartes bancaires.
Le non-respect de cette obligation peut entraîner des amendes (jusqu'à 500 000 $ par perte de données), des restrictions voire une exclusion permanente des programmes d'acceptation de cartes. Par extension, de nombreuses entreprises considèrent la norme PCI DSS comme étant la norme assurant de strictes conditions de sécurité de leur infrastructure IT.
Fondé par les principales sociétés de cartes de paiement dont American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa, le Consortium PCI vise à créer un forum mondial transparent dans lequel tous les participants peuvent contribuer au développement, à l'amélioration et à la diffusion constante d'informations sur la norme PCI DSS (Data Security Standard) et d'autres normes qui accroissent la sécurité des données de paiement.
L'objectif de PCI DSS est de renforcer les Bonnes Pratiques en matière de sécurité des données de comptes de paiement, afin de protéger les informations confidentielles des titulaires de carte, de réduire la fraude et d'identifier les problèmes de sécurité susceptibles d'être exploités par des utilisateurs malveillants.
La norme 1.1 de PCI DSS (publiée en septembre 2006) ajoute une exigence majeure (exigence 6.6) : protéger les applications Web, soit en faisant contrôler son code, soit en déployant un pare-feu d'applications Web.
Afin d'obtenir une conformité à la norme PCI DSS, cette exigence est obligatoire à compter du 30 juin 2008.
DENY ALL, SPÉCIALISTE DE LA SÉCURITÉ APPLICATIVE
En tant que principal éditeur européen de firewalls applicatifs, Deny All est doté d'une expertise unique en matière de sécurisation d'applications dynamiques et en perpétuel changement. La société a permis à d'importantes entreprises de se conformer aux exigences PCI DSS et d'améliorer leur e-business grâce à une gestion globale d'applications incluant des applications la sécurité proactive des applications Web, l'accélération de l'infrastructure Web et la simplification des architectures.
EXIGENCES DE LA NORME PCI DSS
Mettre en oeuvre des mesures de contrôle d'accès
7ème exigence
Restreindre l'accès aux données des cartes bancaires aux seuls individus qui doivent les connaître.
8ème exigence
Attribuer un identifiant unique à chaque personne disposant d'un accès informatique.
9ème exigence
Restreindre l'accès physique aux données des titulaires de carte.
Surveiller et tester régulièrement les réseaux
10ème exigence
Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte.
11ème exigence
Tester régulièrement les systèmes et processus de sécurité.
Disposer d'une politique de sécurité
12ème exigence
Disposer d'une politique portant sur la sécurité des informations.
Créer et gérer un réseau sécurisé
1ère exigence
Installer et gérer la configuration de firewall pour protéger les données des titulaires de carte.
2ème exigence
Ne pas utiliser les mots de passe systèmes et autres paramètres de sécurité par défaut définis par le fournisseur.
Protéger les données des cartes bancaires
3ème exigence
Protéger les données stockées des titulaires de carte.
4ème exigence
Chiffrer la transmission des données des titulaires de carte sur les réseaux publics.
Disposer d'un programme de gestion des vulnérabilités
5ème exigence
Utiliser des logiciels antivirus et les mettre à jour régulièrement.
6ème exigence
Développer et gérer des applications et des systèmes sécurisés.
Vous souhaitez en savoir plus sur PCI-DSS
Consortium PCI-DSS:
https://www.pcisecuritystandards.org/
Texte complet de la norme:
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml