Qu’est-ce que la conformité PCI DSS ?

La conformité à la norme PCI DSS est le processus d’adhésion à un ensemble de contrôles et de normes visant à sécuriser les transactions financières physiques et en ligne. Le terme signifie “norme de sécurité des données de l’industrie des cartes de paiement”. Il a été élaboré par le Payment Card Industry Security Standards Council (PCI SSC) afin de réduire les violations et le vol de données relatives aux cartes de paiement et aux titulaires de cartes.

Les types de violations régies par la norme PCI DSS comprennent l’exposition des numéros de compte primaire (PAN), de la valeur de vérification de la carte (CVV) et du numéro d’identification personnel (PIN). La norme PCI DSS exige des commerçants qu’ils utilisent des technologies de sécurité et des processus commerciaux qui protègent les informations personnelles identifiables (PII) et les données de paiement des titulaires de cartes, telles que les noms, les adresses et les numéros de cartes de crédit.

Le PCI SSC attribue la responsabilité aux commerçants qui acceptent les paiements par carte et impose des amendes réglementaires à ceux qui ne s’y conforment pas. Le Conseil supervise les mises à jour, les modifications et les ajouts à la norme PCI DSS afin de répondre à l’évolution des besoins du secteur des cartes de paiement. Il s’agit notamment de développer de nouvelles normes, technologies de sécurité et exigences pour protéger les consommateurs, les transactions, les fonds et les données.

Les entreprises sont conformes lorsqu’elles reçoivent une certification PCI DSS. Cela signifie qu’elles adhèrent à 12 normes de sécurité :

1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes
2. Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe et autres paramètres de sécurité
3. Protéger les données stockées des titulaires de cartes
4. Crypter la transmission des données des titulaires de cartes sur les réseaux ouverts et publics
5. Utiliser et mettre à jour régulièrement des logiciels ou programmes antivirus
6. Développer et maintenir des systèmes et des applications sécurisés
7. Restreindre l’accès aux données des titulaires de cartes en fonction du besoin de savoir de l’entreprise
8. Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur
9. Restreindre l’accès physique aux données des titulaires de cartes
10. Suivre et contrôler tous les accès aux ressources du réseau et aux données des titulaires de cartes
11. Tester régulièrement les systèmes et les processus de sécurité
12. Mettre en place une politique de sécurité de l’information à l’intention des employés et des sous-traitants

Les commerçants doivent également se conformer à 200 exigences supplémentaires qui sont subordonnées aux exigences principales.

La norme PCI DSS comporte quatre niveaux de conformité en fonction du nombre de transactions par carte de crédit traitées par les commerçants.

• Niveau 1 : commerçants qui traitent plus de six millions de transactions par an.
• Niveau 2 : commerçants qui traitent entre un et six millions de transactions par an
• Niveau 3 : commerçants qui traitent entre 20 000 et un million de transactions par an
• Niveau 4 : commerçants qui traitent moins de 20 000 transactions par an.

Il existe différents processus pour atteindre chaque niveau de certification. Pour les quatre niveaux, les entreprises doivent remplir un questionnaire d’auto-évaluation. Les commerçants des niveaux 1 et 2 doivent également remplir un rapport de conformité (RoC). En outre, les commerçants de niveau 1 doivent se soumettre à un audit de conformité annuel effectué par un évaluateur de sécurité qualifié (QSA) et scanner leurs réseaux tous les trimestres en faisant appel à un fournisseur de services de scan approuvé (ASV). Le PCI SSC tient à jour une liste des QSA et ASV agréés.

La conformité à la norme PCI DSS exige des commerçants qu’ils évaluent en permanence leur matériel, leurs logiciels et leurs technologies de sécurité, ainsi que les processus commerciaux qui gèrent les données et les transactions des cartes de paiement. Lorsque les commerçants découvrent des vulnérabilités dans leur système, ils doivent y remédier afin de maintenir la sécurité des données et des transactions par carte. Ils doivent conserver une trace de ces évaluations et de la manière dont ils ont corrigé les vulnérabilités, et communiquer régulièrement des rapports sur leur conformité à la norme PCI DSS aux banques et aux sociétés émettrices de cartes de paiement qu’ils utilisent.

Les commerçants doivent disposer d’une infrastructure de sécurité solide pour atteindre et maintenir la conformité à la norme PCI DSS. Cela signifie qu’ils doivent continuellement réduire leur surface d’attaque et remédier à toutes les vulnérabilités des systèmes de traitement des cartes. Voici quelques exemples :

• Des outils de sécurité de base, tels que des pare-feu et des logiciels antivirus
• Des contrôles d’accès rigoureux qui limitent l’accès des employés, des sous-traitants et des fournisseurs tiers aux données des titulaires de cartes et qui enregistrent tous les événements d’accès qui se produisent
• Le cryptage des données stockées et transmises
• Des tests de pénétration des systèmes pour découvrir les vulnérabilités
• Solutions de sécurité côté client qui offrent une visibilité en temps réel de la surface d’attaque de la chaîne d’approvisionnement côté client afin d’identifier de manière proactive les vulnérabilités et les comportements anormaux
• Blocage granulaire du JavaScript côté client pour empêcher le code de fournisseurs tiers d’accéder aux champs sensibles des formulaires de paiement, sans désactiver l’ensemble du script
• Des solutions de gestion des robots qui empêchent les robots d’effectuer des achats frauduleux avec des données de cartes de crédit volées

La conformité à la norme PCI DSS n’est pas un événement ponctuel, mais un processus continu. Les organisations doivent continuellement évaluer et améliorer leurs mesures de sécurité pour suivre l’évolution du paysage des menaces et garantir que les données de leurs clients restent sûres et sécurisées. Cela signifie qu’elles doivent surveiller tous les systèmes et toutes les transactions pour détecter toute activité anormale en temps réel. Ce faisant, les entreprises peuvent instaurer un climat de confiance avec leurs clients et conserver une réputation positive sur le marché.

Une mise à jour de la norme, PCI DSS 4, a été publiée en novembre 2020 et doit être entièrement mise en œuvre d’ici mars 2025. Cette version comprend plusieurs mises à jour, dont une plus grande attention portée à la protection du navigateur du client.

L’un des changements les plus importants de la norme PCI DSS 4 est l’accent mis sur la sécurité de la navigation. Les organisations qui traitent des informations relatives aux cartes de crédit sont désormais tenues de s’assurer que les navigateurs de leurs clients sont sécurisés lorsqu’ils effectuent des transactions sur leurs sites web. Deux exigences en particulier régissent cette question :

• L’exigence 6.4.3 stipule que les organisations doivent inventorier, autoriser, justifier et assurer l’intégrité de tous les scripts de pages de paiement côté client.
• L’exigence 11.6.1 stipule que les organisations doivent être alertées en cas de modification non autorisée des en-têtes HTTP tels qu’ils sont reçus par le navigateur du consommateur.

Ces exigences sont essentielles car les vulnérabilités des navigateurs des clients peuvent conduire à des attaques de la chaîne d’approvisionnement côté client qui volent des informations personnelles, telles que Magecart, le détournement de formulaires et les redirections malveillantes.

Dans l’ensemble, l’accent mis sur la protection du navigateur du client dans la norme PCI DSS 4 constitue une étape importante dans l’amélioration de la sécurité des transactions de commerce électronique. En s’assurant que les navigateurs des clients sont sécurisés lorsqu’ils effectuent des transactions sur leurs sites web, les organisations peuvent prévenir la fraude et d’autres activités malveillantes et protéger les données de leurs clients.

Pour être conformes à la norme PCI DSS 4, les entreprises doivent respecter les exigences 6.4.3 et 11.6.1. Cela signifie qu’elles doivent répertorier tous les codes côté client exécutés sur les pages de paiement, expliquer pourquoi chaque script est nécessaire et s’assurer que le code n’a pas été modifié depuis le moment où il a été jugé sûr.

Bien que ces exigences puissent paraître simples, elles peuvent s’avérer très difficiles à respecter dans la pratique. Voici pourquoi :

• Manque de visibilité au moment de l’exécution – Les scripts des pages de paiement s’exécutent côté client, sur les navigateurs des utilisateurs plutôt que sur le serveur web central. Il peut être difficile de détecter les changements dans les scripts qui se chargent dynamiquement au moment de l’exécution. Il peut s’agir d’injections de codes malveillants ou de modifications intentionnelles, telles que l’ajout d’un jeton pour identifier un visiteur ou d’une autre fonction dynamique souhaitée.
• Modifications fréquentes du code – Les bibliothèques tierces sont continuellement modifiées et mises à jour. Même si un script est vérifié lorsqu’il est ajouté pour la première fois à un site, cela ne signifie pas que les modifications ultérieures sont sûres. Plus de 50 % des propriétaires de sites web déclarent que les scripts tiers exécutés sur leurs propriétés web sont modifiés quatre fois ou plus par an, parfois à leur insu.
• Vendeurs tiers – Les vendeurs tiers peuvent eux-mêmes obtenir du code à partir de bibliothèques externes. La dépendance des partenaires à l’égard d’autres partenaires pour le code JavaScript peut ne pas être divulguée, ce qui allonge la chaîne d’approvisionnement en logiciels et accroît les risques commerciaux. Il se peut que ce soit le énième script d’une tierce partie qui soit vulnérable, ce qui peut affecter l’ensemble de la chaîne d’approvisionnement JavaScript.
• Examens de sécurité insuffisants – Les développeurs s’appuient sur des codes tiers pour mettre rapidement des fonctionnalités sur le marché. Ils ne veulent pas être ralentis par des processus internes et peuvent introduire du code dans une application sans passer par les examens de sécurité appropriés. Même si un examen initial est effectué, il ne tient pas compte des modifications futures du code.

Les cybercriminels ciblent les systèmes de point de vente (POS) ou de point d’achat (POP) pour voler les numéros de cartes de paiement, les codes PIN, les CVC et d’autres informations confidentielles des consommateurs. Leurs méthodes consistent notamment à:

• Installer des logiciels malveillants conçus pour violer le matériel et les logiciels des points de vente et collecter les données des cartes pendant les transactions
• Modifier ou injecter un code client malveillant dans les sites de commerce électronique pour extraire les données des cartes de crédit des formulaires de paiement en ligne
• Lancer des logiciels malveillants sur les appareils des utilisateurs pour voler leurs informations personnelles
• Attaquer les systèmes où sont stockées les données des titulaires de cartes

Les applications web modernes sont particulièrement exposées au risque d’une attaque de la chaîne d’approvisionnement côté client, qui pourrait exposer les données des titulaires de cartes et entraîner une non-conformité. Les développeurs s’approvisionnent souvent en scripts pour les fonctionnalités courantes, telles que les chatbots, les boutons de partage social et les pixels de suivi, auprès de fournisseurs tiers et de bibliothèques open source. Ce code s’exécute côté client, c’est-à-dire sur le navigateur de l’utilisateur et non sur le serveur web central, ce qui laisse les propriétaires de sites web dans l’ignorance de son comportement. Les cybercriminels profitent de cet angle mort pour injecter un code malveillant qui capture les données des titulaires de cartes. Sans les outils de sécurité adéquats, un code malveillant côté client peut passer inaperçu pendant un certain temps.

Les données volées sur les titulaires de cartes peuvent être vendues sur le dark web et utilisées pour de futures attaques par carte et des fraudes aux transactions. Les fraudeurs peuvent utiliser des numéros de cartes de crédit, de débit et de cadeaux volés pour effectuer des achats frauduleux sur des sites de commerce électronique. Ils peuvent acheter des biens directement ou acheter des cartes-cadeaux qui peuvent être échangées contre des biens de grande valeur ou vendues en ligne.

Les attaques par carte ont augmenté de 134% en glissement annuel, et les études estiment que chaque dollar de fraude coûte aux commerçants jusqu’à $3,60 en raison des rétro facturations, des frais et du remplacement des marchandises perdues. On prévoit que la fraude numérique par carte non présente atteindra 130 milliards de dollars d’ici à 2023.

La conformité à la norme PCI DSS présente de nombreux avantages pour les entreprises.

• Réduction du risque de fraude : Les entreprises conformes à la norme PCI DSS ont un risque beaucoup plus faible de subir une cyberattaque que celles qui ne le sont pas.
• Renforcer la confiance des consommateurs : Les consommateurs se sentent plus en sécurité lorsqu’ils effectuent des transactions financières sur un site conforme à la norme PCI DSS, de sorte qu’ils sont plus enclins à visiter des fournisseurs certifiés PCI DSS.
• Éviter les amendes : Les amendes imposées par le PCI SSC peuvent atteindre 500 000 dollars en cas de violation réussie lorsque les commerçants ne sont pas conformes à la norme PCI DSS.

Il est essentiel de se rappeler que le maintien de la conformité est un processus continu, et non une activité ponctuelle. Cela signifie qu’il faut tester régulièrement vos systèmes de sécurité pour s’assurer qu’ils sont à jour et qu’ils réduisent les risques de manière proactive.

HUMAN PCI DSS Compliance simplifie la conformité aux exigences PCI DSS 4 6.4.3 et 11.6.1. Avec une seule ligne JavaScript, la solution fournit automatiquement un inventaire complet de scripts à risque et une méthode simple pour autoriser, justifier et assurer l’intégrité des scripts. Elle alerte sur les modifications non autorisées apportées aux scripts et aux en-têtes HTTP, permet d’enquêter sur les comportements risqués des scripts et de les bloquer. Les clients peuvent générer des rapports d’audit à la demande pour démontrer leur conformité aux évaluateurs de sécurité. Parlez à un Humain pour en savoir plus.