Récapitulatif des modifications entre les versions 2.0 et 3.0

Documents pareils
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

PCI (Payment Card Industry) Data Security Standard

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

Comprendre l'objectif des conditions

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification

Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Rapport de certification

Rapport de certification

Payment Card Industry (PCI) Normes en matière de sécurité des données

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Rapport de certification

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Gestion du capital Rapport de vérification final Rapport n o 13/13 17 février 2014

MODIFICATIONS DES PRINCIPES DIRECTEURS CONCERNANT LA RÉDACTION DES DÉFINITIONS RELATIVES AU CLASSEMENT

Format de l avis d efficience

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Meilleures pratiques de l authentification:

Formations qualifiantes dans le domaine du paiement électronique

Pourquoi la responsabilité sociétale est-elle importante?

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet

Rapport de certification

Avis n sur la méthodologie relative aux comptes combinés METHODOLOGIE RELATIVE AUX COMPTES COMBINES

Rapport de certification

La seule plateforme d authentification dont COVER vous aurez jamais besoin.

Rapport de certification

ECVET GUIDE POUR LA MOBILITÉ

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

Évaluation des compétences. Identification du contenu des évaluations. Septembre 2014

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

ORACLE PRIMAVERA PORTFOLIO MANAGEMENT

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

Rapport de certification

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

La biométrie au cœur des solutions globales

Excellence. Technicité. Sagesse

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines.

Rapport de certification

Consultation sur le projet de mise à jour des indicateurs PEFA, 7 août 2014

Rapport de certification

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. offres en architecture de l information cartographie. principes. objectifs.

Charte de Qualité sur l assurance vie

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Authentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

UserLock Quoi de neuf dans UserLock? Version 8.5

Notice explicative relative à l utilisation de l outil pour la production du

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION RÈGLE E2

Rapport de stage d initiation

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d'application de paiement (PA-DSS)

Prise de position du CNUE concernant la proposition de directive horizontale relative aux droits des consommateurs

Norme internationale d information financière 1 Première application des Normes internationales d information financière

Tableau Online Sécurité dans le cloud

Méthodologie d Ouverture, de Dépouillement et d Evaluation des Offres Relatives à la Consultation 09 S V.E.De.R

Se former pour réussir!

IN SYSTEM. Préconisations techniques pour Sage 100 Windows, MAC/OS, et pour Sage 100 pour SQL Server V16. Objectif :

Référentiel d authentification des acteurs de santé

PROJET DE LOI DE FINANCES POUR 2006 GUIDE DE LECTURE DES NOUVEAUX DOCUMENTS BUDGÉTAIRES PAR MISSION DU BUDGET DE L ÉTAT

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

2012 / Excellence. Technicité. Sagesse

ITIL V3. Objectifs et principes-clés de la conception des services

Service HP Support Plus Services contractuels d assistance clientèle HP

Travail d équipe et gestion des données L informatique en nuage

Guide d administration de Microsoft Exchange ActiveSync

GUIDE DES PROCEDURES APPEL A PROJETS 2013 DE RECHERCHE-ACTION

Zimbra Collaboration 8.X

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

Signature électronique. Romain Kolb 31/10/2008

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Setting Up PC MACLAN File Server

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Paiements mobiles NFC au Canada

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

Christophe Pagezy Directeur Général Mob:

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Concilier mobilité et sécurité pour les postes nomades

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

Bureau du commissaire du Centre de la sécurité des télécommunications

Université de Lorraine Licence AES LIVRET DE STAGE LICENCE

Options de déploiement de Seagate Instant Secure Erase

Tsoft et Groupe Eyrolles, 2005, ISBN :

Les critères d identification des pays les moins avancés

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Serveur de sauvegarde à moindre coût

GUIDE D UTILISATION DU BACKOFFICE

Transcription:

Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013

Introduction Ce document apporte un récapitulatif des modifications entre la v2.0 et la v3.0 de la norme PA-DSS. Le tableau 1 donne un aperçu des types de modifications inclus dans la v3.0 de la norme PA-DSS. Le tableau 2 des pages suivantes donne un récapitulatif des modifications importantes qui se trouvent dans la v3.0 de la norme PA-DSS. Tableau 1 : s de modification de modification Directives supplémentaires la condition Définition de l objectif de. Garantit que la rédaction concise de la norme reflète l objectif souhaité des conditions. Explications, définitions et/ou instructions permettant une meilleure compréhension ou délivrant une meilleure information ou une directive à propos d un sujet particulier. s garantissant que les normes sont à jour et tiennent compte des nouvelles menaces et de l évolution du marché. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 1

Tableau 2 : Récapitulatif des modifications Section Objectif de ce document Introduction Introduction Objet et utilisation plus clairs du document et ajout d une référence au modèle de rapport ROV de la norme PA-DSS. Relation entre les normes PCI DSS et PA-DSS Meilleure clarification du fait que les applications PA- DSS se trouvent dans le champ d application de l évaluation PCI DSS d une organisation. Informations relatives aux conditions d application de la norme PCI DSS Informations relatives aux conditions d application de la norme PCI DSS Section déplacée et mise à jour pour refléter les changements de la norme PCI DSS. Élimination de certains termes de la norme PCI DSS qui ne s appliquent pas à PA-DSS. Champ d application de la norme PA- DSS Champ d application de la norme PA-DSS Information éliminée concernant les applications de paiement qui sont éligibles pour la norme PA-DSS. Les informations portant sur l éligibilité pour la norme PA-DSS se trouvent sur le Guide du programme de la norme PA-DSS. Rôles et responsabilités Les informations portant sur les parties prenantes pertinentes et leurs rôles et responsabilités pour PA- DSS ont été supprimées puisqu elles sont incluses sans le Guide du programme PA-DSS. Guide de mise en œuvre de la norme PA-DSS Guide de mise en œuvre de la norme PA- DSS Davantage de directives sur le Guide de mise en œuvre de la norme PA-DSS et clarification du rôle du PA-QSA. Directives supplémenta ires Instructions contenu rapport conformité et du de Instructions et contenu du rapport de conformité Contenu déplacé pour séparer le Modèle de rapport ROV. Étapes de mise en conformité avec la norme PA-DSS Étapes de mise en conformité avec la norme PA-DSS Section mise à jour pour se concentrer sur le processus d évaluation plutôt que sur la documentation (détails de la documentation déplacés vers le Modèle de rapport ROV). Guide du programme de la norme PA- DSS Guide du programme de la norme PA-DSS Référence supprimée pour la transition PABP, puisqu il n y a plus de processus de transition. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 2

Conditions et procédures d évaluation de sécurité de la norme PA-DSS Conditions et procédures d évaluation de sécurité de la norme PA- DSS Termes ajoutés pour définir l en-tête de colonne de cette section et références supprimées pour les colonnes «En place», «Pas en place» et «Date/Commentaires de cible». 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 3

s générales mises en œuvre dans les conditions de la norme PA-DSS La nouvelle colonne «Directive» décrit le but ou l objectif de sécurité de chaque condition. La directive indiquée dans cette colonne est destinée à aider à la compréhension de conditions et elle ne remplace pas les Conditions et procédures de test de la norme PA-DSS. Les conditions mises à jour et/ou les procédures de test pour illustrer les modifications de la norme PA-DSS, lorsqu une modification de la norme PA-DSS s aligne avec une condition de la norme PCI DSS. Termes mis à jour dans les conditions et/ou procédures de test correspondantes à fin d alignement et de cohérence. Conditions complexes séparées/procédures de test à fin de clarté et procédures de test redondantes/qui se chevauchent éliminées. Procédures de test améliorées pour clarifier le niveau de validation attendu pour chaque condition, y compris : Requis pour l information du Guide de mise en œuvre de la norme PA-DSS Installer l application conformément au Guide de mise en œuvre de la norme PA-DSS pour vérifier la précision des instructions du Guide de mise en œuvre. Les autres modifications générales d édition comprennent : Élimination des colonnes suivantes : «En place», «Pas en place» et «Date/Commentaires de cible». Nouvelle numérotation des conditions et des procédures pour faciliter les modifications. Nouveau format des conditions et des procédures de test pour faciliter la lisibilité, par ex. format du contenu de paragraphe modifié pour inclure des puces, etc. Apport de modification mineure de terminologie pour une meilleure lisibilité. Correction des erreurs typographiques. Directives supplémentai res Tel que le définit la norme PCI DSS Condition Condition 1 Condition 1 Généralités 1.1.c 1.1.1 1.1.3 Condition 2 Titre mis à jour par souci de cohérence, pour remplacer «bande magnétique» par «données de piste». Élimination des procédures de test 1.1.c et ajout des instructions portant sur les procédures de test connexes pour les conditions 1.1.1 à 1.1.3. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 4

Condition 2.x 2.x 2.1 2.1 2.2 2.2 2.4 Ajout de composants du Guide de mise en œuvre de la norme PA-DSS aux procédures de test de cette section. Changement de terminologie pour faire référence à la suppression sécurisée des données plutôt que la purge. Procédures de test améliorées pour demander une validation des fonctions de masquage de PAN. Condition supprimée concernant l utilisation de solutions de cryptage de disque. Nouvelle numérotation des conditions consécutives en fonction 2.6.x 2.5.x Procédures de test mises à jour pour clarifier le fait que les techniques de gestion de clé doivent être testées correctement. 2.7 2.6 Condition 3 3.1 3.1 3.1.b 3.1.c 3.1.1 3.1.2 3.1.4 3.1.7 3.1.6 3.1.7 3.1.6 3.3 3.3.1 3.3.2 Mise à jour pour clarifier le fait que le fournisseur d application doit fournir un mécanisme pour éliminer les matériaux cryptographiques essentiels, si la version actuelle ou précédente utilisait des matériaux ou des cryptogrammes de clé cryptographique. Note déplacée de l ancienne procédure de test 3.1.b à 3.1. Nouvelle condition créée à partir des anciennes procédures de test 3.1.b - 3.1.c pour garantir que les mots de passe par défaut sont appliqués par l application et validés correctement. Condition déplacée vers 3.1.7 pour une meilleure organisation des conditions. Conditions de complexité combinée de mot de passe pour s aligner avec la v3.0 de la norme PCI DSS et donner une meilleure flexibilité pour les alternatives de composition de mot de passe qui respectent les conditions de robustesse minimum. Condition 3.3 divisée en deux conditions pour se concentrer de manière séparée sur les mots de passe transmis (3.3.1) et les mots de passe stockés (3.3.2). Mise à jour 3.3.2 pour exiger l utilisation d un algorithme cryptographique unilatéral avec une variable d entrée unique pour rendre les mots de passe illisibles. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 5

Condition 3.4 Condition 4 4.2.5 4.2.5 Condition 5 5.1 5.1 5.1.5 5.1.6 5.1.7 5.2 5.2 5.2.10 5.4 8.2 Nouvelle condition pour que les applications limitent l accès aux fonctions/ressources requises et appliquent le moins de privilèges pour les comptes intégrés. Condition mise à jour pour clarifier les types de mécanismes d identification et d authentification qui doivent être mentionnés dans les journaux, y compris la création de nouveaux comptes. Condition améliorée pour comprendre les analyses de sécurité dans les processus de développement. Nouvelle condition pour que les développeurs d application de paiement vérifient l intégrité du code source pendant le processus de développement. Nouvelle condition pour que les applications de paiement soient développées selon les meilleures pratiques du secteur pour la sécurisation des techniques de codage, y compris : Développer avec le moins de privilèges possible pour l environnement. Développer des paramètres de sécurité par défaut, par ex. toute exécution est refusée par défaut sauf spécification contraire lors de la conception initiale. Développer des considérations de tous les points d accès, y compris les entrées de variations telles que les entrées multi-canal dans l application. Documentation de la manière avec laquelle les PAN et/ou SAD sont traités dans la mémoire. Nouvelle condition créée à partir des anciennes procédures de test 5.2.a et 5.2.b pour que les développeurs d application de paiement soient formés aux pratiques de développement sécurisées. Condition mise à jour pour centrer la prévention des vulnérabilités de codage courantes. Nouvelle condition pour adresser la «rupture dans la gestion des authentifications et des sessions». Condition déplacée de 8.2 pour s aligner avec les autres conditions qui facilitent la sécurisation de l environnement PCI DSS et conserver 5.x centrée sur les pratiques de développement de logiciel. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 6

Condition 5.4 5.5 5.6 Condition 6 6.1 6.2 6.1 6.3 Condition 7 Condition 7 Généralités 7.1 7.1.1 7.1.3 Nouvelle condition pour que le fournisseur d application de paiement définisse et mette en œuvre une méthodologie de gestion des versions conforme au Guide du programme de la norme PA-DSS. Nouvelle condition pour que les fournisseurs d application de paiement incorporent des techniques d évaluation des risques dans leur processus de développement de logiciel. Nouvelle condition pour que les fournisseurs d application de paiement mettent en œuvre un processus d autorisation formelle avant le lancement final. Conditions réorganisées pour clarifier les contrôles qui s appliquent à toutes les applications et les contrôles qui s appliquent uniquement quand le sans-fil est utilisé ou qu il est prévu qu il soit utilisé avec l application de paiement. Nouvelle condition 6.3 créée à partir de la procédure de test formelle 6.2.b. Le titre mis à jour reflète l intention de (répondre aux vulnérabilités et maintenir les mises à jour de l application). Divisés en conditions séparées et nécessitant l utilisation de sources «de confiance» pour les informations sur les vulnérabilités en matière de sécurité. 7.2 7.2.1 7.2.2 Divisé en deux conditions séparées. 7.3 Nouvelle condition pour que le fournisseur d application donne des notes de lancement pour toutes les mises à jour de l application. Condition 8 8.1 8.1 5.4 8.2 Exemple développé pour clarifier l objectif de la condition. Condition déplacée de 5.4 pour s aligner avec les autres conditions qui facilitent la sécurisation de l environnement PCI DSS. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 7

Condition 10.1 8.3 Condition 9 9.1 9.1 Condition 10 10.1 8.3 10.2 10.1 10.2.2 10.3.2 10.2.3 Condition 11 11.1 11.1 Condition déplacée de 10.1 pour s aligner avec les autres conditions qui facilitent la sécurisation de l environnement PCI DSS. Terminologie ajoutée pour clarifier l objectif de la condition selon lequel il n est pas demandé aux serveurs Web et aux composants de stockage de données du titulaire d être dans le même réseau, avec les bases de données comme exemple d un composant de stockage de données du titulaire et la DMZ comme exemple de zone réseau. Condition déplacée de 8.3 pour s aligner avec les autres conditions qui facilitent la sécurisation de l environnement PCI DSS. Nouvelle numérotation des conditions ultérieures. La condition clarifiée s applique aux accès à distance provenant de l extérieur du réseau du client. Nouvelle condition pour que les fournisseurs qui assurent des services d assistance/maintenance aux clients maintiennent des justificatifs d authentification uniques pour chaque client. Mise à jour pour clarifier le fait que cette condition s applique à tous les types d accès à distance. Les mises à jour mineures offrent une plus grande clarté et s alignent avec la norme PCI DSS. Condition 12 12.1 12.1 12.2 Conditions réorganisées pour clarifier les contrôles qui s appliquent à toutes les applications et les contrôles qui s appliquent uniquement quand l application de paiement facilite l accès administratif non console. Condition 13 Condition 13 Généralités Changement de titre pour centrer sur les conditions du Guide de mise en œuvre de la norme PA-DSS. Conditions pour que la documentation d instruction et les programmes de formation soient déplacés vers la nouvelle condition 14. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 8

Condition 13.1.1 13.1.3 13.1.3 Condition 14 Condition 14 Généralités 14.1 14.2 13.2 14.3 Annexe B Nouvelle condition pour valider que le Guide de mise en œuvre de la norme PA-DSS soit spécifique à l application et à la version ou aux versions à évaluer. L objectif clarifié est que le Guide de mise en œuvre de la norme PA-DSS soit révisé et mis à jour lorsque l application ou les conditions de la norme PA-DSS changent. Voir «généralité 13 ci-dessus.» Nouvelle condition pour centrer la documentation d instruction et les programmes de formation, y compris la formation interne pour le personnel du fournisseur aux responsabilités de la norme PA-DSS. Nouvelle condition pour apporter les informations en matière de sécurité et la formation à la norme PA-DSS pour le personnel du fournisseur ayant des responsabilités au regard de la norme PA-DSS. Nouvelle condition pour l affectation des responsabilités pour la norme PA-DSS du personnel du fournisseur. Conditions améliorées précédemment incluses en 13 pour les programmes de formation d intégrateur/revendeur. L objectif clarifié est que la documentation de formation soit révisée et mise à jour lorsque l application ou les conditions de la norme PA- DSS changent. Confirmation de la configuration du laboratoire de test spécifique à l évaluation de la norme PA-DSS Configuration du laboratoire de test pour les évaluations de la norme PA-DSS Annexe recentrée pour donner des informations concernant les attentes et les capacités du laboratoire utilisé pour conduire les évaluations de la norme PA- DSS. Détails et modèle pour documenter la configuration de laboratoire de test déplacée vers un modèle de rapport ROV PA-DSS séparé. 2006-2013 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back