[ LE CLUSIF PUBLIE UN NOUVEAU DOCUMENT TECHNIQUE INTITULÉ : » PCI DSS V2.0 : QUELS CHANGEMENTS ? » SUR LE SITE WWW.CLUSIF.ASSO.FR ]

Un groupe de travail du CLUSIF s’est penché sur les tenants et les aboutissants de la version 2.0 du standard PCI DSS. Ce document, comme toutes les productions du CLUSIF, est disponible gratuitement pour tous.

En France, début 2009, les acteurs bancaires ont clairement annoncé leur soutien au standard PCI DSS. Si les échéances données par les organismes cartes concernant la conformité sont échues, l’application des pénalités est envisagée au cas par cas dans les relations contractuelles entre les différents acteurs. A titre indicatif, les pénalités annoncées par VISA Inc. sont de l’ordre de 25 000 $ mensuels en cas de non-conformité et de 500 000 $ d’amende en cas de compromission avérée. Visa, MasterCard, American Express, Discover et JCB ont fondé en 2006 le Payment Card Industry Security Standards Council (PCI SSC) avec pour objectif de définir un référentiel de sécurisation des données carte bancaires s’appuyant sur des bonnes pratiques : PCI DSS. Ce référentiel est obligatoire pour les sites Internet des sociétés dont les activités impliquent l’existence, le traitement ou le stockage de données de transactions bancaires.

Evolutions et impacts majeurs de la version 2.0

Une nouvelle version des standards PCI DSS et PA-DSS, relatifs à la sécurité des données cartes bancaires, est publiée périodiquement afin de prendre en compte les évolutions des menaces, de l’état de l’art en sécurité et de la réglementation applicable au secteur. Les versions 2.0 des standards PCI DSS et PA-DSS ont été fin 2010.

Le groupe de travail PCI DSS du CLUSIF présente dans ce livrable son analyse des évolutions significatives par rapport aux précédentes versions, ainsi que leurs impacts probables pour les sociétés engagées dans une démarche de mise en conformité.

La nouvelle version 2.0 arrive avec un nouveau cycle de vie du standard, passant de 3 ans au lieu de 2 ans. Ce nouveau cycle précise que le standard sera incrémenté d’une version majeure tous les 3 ans.

La plupart de ces mises à jours sont des clarifications qui ne devraient pas impliquer de nouveaux challenges aux acteurs soumis à ce standard. Cette nouvelle version de PCI DSS, plus mature, devient de plus en plus le référentiel en matière de gestion de données sensibles, si bien qu’il est de plus en plus utilisé même au delà des entités qui y sont directement soumises.

Parmi les nouveautés de la version 2.0, voici quelques éléments clés :
 précision que le standard s’applique à la fonction « émission »
 prise en compte de la virtualisation
 prise en compte d’une approche de gestion du risque pour la mise en application des correctifs de sécurité
 clarification sur la non-compatibilité entre le stockage d’un hash de PAN et d’un PAN tronqué (l’un ou l’autre mais pas les deux)
 précision sur la notion de périmètre et les méthodes de choix de l’échantillonnage d’audit
 élargissement de l’audit de code à l’ensemble des applications et non plus aux seules applications web
 précision en termes de gestion et de protection des clés de chiffrement
 précision sur l’authentification à deux facteurs, ceux-ci devant bien évidemment être distincts

Ce document est téléchargeable à l’adresse suivante :

http://www.clusif.asso.fr/fr/produc…

A propos du Club de la Sécurité de l’Information Français (CLUSIF)

Véritable observatoire des pratiques et des risques liés à la sécurité de l’information, le CLUSIF agit pour sensibiliser tous les acteurs économiques et dans l’intérêt général des utilisateurs des systèmes d’information.

Ce Club professionnel est un lieu d’échanges où secteurs public et privé, monde de l’Education, se rencontrent et mettent en commun leurs réflexions. De nombreux travaux en sont issus, tous gratuits et disponibles en téléchargement et certains traduits en anglais : panoramas de la cybercriminalité, études sur les menaces informatiques et les pratiques de sécurité en France, synthèses, ouvrages de référence, portail cybervictime, documents techniques et sur la gestion des risques.
Véritable carrefour d’échanges, le CLUSIF est ouvert à toute entreprise, de la TPE à la multinationale, ainsi qu’aux collectivités publiques et rassemble à ce jour plus de 600 adhérents.

Le CLUSIF intervient pour l’intérêt de tous dans des contextes très ouverts incluant la sécurité des réseaux, la lutte antivirus, les plans de continuité d’activité, la sécurité physique des centres informatiques, la malveillance téléphonique, le management des risques, le droit, la défense de l’information, la cybercriminalité auprès des acteurs du secteur privé, des Institutionnels, des 2ème et 3ème cycles universitaires, des Grandes Ecoles, des fédérations professionnelles… Il participe à des travaux nationaux et internationaux avec les pouvoirs publics.