Industrie des cartes de paiement (PCI) Norme de sécurité des données

Documents pareils
Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Récapitulatif des modifications entre les versions 2.0 et 3.0

Industrie des cartes de paiement (PCI) Norme de sécurité des données. Conditions et procédures d évaluation de sécurité. Version 3.

Payment Card Industry (PCI) Data Security Standard Questionnaire d auto-évaluation B et attestation de conformité

Payment Card Industry (PCI) Normes en matière de sécurité des données

Comprendre l'objectif des conditions

PCI (Payment Card Industry) Data Security Standard

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Pour bien commencer avec le Cloud

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Payment Card Industry (PCI) Normes en matière de sécurité des données. Version 1.1

Perdu dans la jungle des droits d accès?

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

Ressources. APIE Agence du patrimoine immatériel de l état. Les paiements sur Internet. l immatériel. Pour agir. En bref

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

FILIÈRE TRAVAIL COLLABORATIF

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

L application doit être validée et l infrastructure informatique doit être qualifiée.

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Le stockage de données qui voit les affaires à votre manière. En hausse. nuage

Catalogue Audit «Test Intrusion»

Montrer que la gestion des risques en sécurité de l information est liée au métier

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

«ASSISTANT SECURITE RESEAU ET HELP DESK»

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Voulez-vous offrir le service libre-service bancaire ultime?

Sélection d un Qualified Security Assessor (QSA), chargé d évaluer la conformité du GIM-UEMOA. à la norme PCI-DSS, level 1

PCI DSS un retour d experience

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Secteur des cartes de paiement (PCI) Norme de sécurité des données (DSS) et norme de sécurité des données d application de paiement (PA-DSS)

PROFIL PROFESSIONNEL «ASSISTANT COMMERCIAL IMPORT EXPORT»

Présentation du PL/SQL

Outil de documentation sur la réduction D : Système d archivage de l analyse de la réduction

Consultation sur le projet de mise à jour des indicateurs PEFA, 7 août 2014

Analyse statique de code dans un cycle de développement Web Retour d'expérience

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Livre blanc, août 2013 Par Peer1 et CompliancePoint Certification PCI DSS De la complexité à la simplicité

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

GUIDE DE DEMARRAGE V1.02

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

M A I T R E D O U V R A G E

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

MODIFICATIONS DES PRINCIPES DIRECTEURS CONCERNANT LA RÉDACTION DES DÉFINITIONS RELATIVES AU CLASSEMENT

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Menu Fédérateur. Procédure de réinstallation du logiciel EIC Menu Fédérateur d un ancien poste vers un nouveau poste

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Les modules SI5 et PPE2

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

QU EST CE QUE LE CLOUD COMPUTING?

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

En temps que prestataire informatique, nous enjoignons tous nos clients à faire de la politique backup une priorité.

L'AUDIT DES SYSTEMES D'INFORMATION

FORMULAIRE DE DECLARATION DU RISQUE RESPONSABILITE CIVILE SSII

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Le Dossier Médical Personnel et la sécurité

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

La sécurité des solutions de partage Quelles solutions pour quels usages?

Livre blanc. Le Cloud Computing : battage publicitaire ou stratégie d entreprise intelligente?

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet

Plan d action de l Institut des Réviseurs d Entreprises concernant l application de la norme ISQC

Systèmes et réseaux d information et de communication

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

LIVRE BLANC ENJEUX DES APPLICATIONS DE GESTION EN MODE SAAS

Sécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL

En date du 11 décembre 2008

AUDIT CONSEIL CERT FORMATION

S8 - INFORMATIQUE COMMERCIALE

REGLES APSAD R81 DETECTION INTRUSION

Localisation des points d accès sans fil non autorisés

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Fiche Technique Windows Azure

Solution de gestion des journaux pour le Big Data

Stratégie nationale en matière de cyber sécurité

Téléphone : Télécopieur : ATS : info@ipc.on.ca

EXIN Cloud Computing Foundation

externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte

Rapport de vérification interne du cadre de contrôle de l accès aux réseaux informatiques. Janvier 2010

À quelles lacunes en matière de données doit-il être remédié?

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

Tremplins de la Qualité. Tome 2

System de Gestion de la Qualité GE Oil & Gas Sourcing Directives pour les inspections FPQ/PLQ ARSB-O&G-004 Rév. : 2.0

Le management des risques de l entreprise Cadre de Référence. Synthèse

Vers un nouveau modèle de sécurité

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

A009 Maîtrise des enregistrements

Transcription:

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications entre les versions 3.1 et 3.2 de la norme PCI DSS Avril 2016

Introduction Ce document récapitule les modifications entre les versions 3.1 et 3.2 de la norme PCI DSS. Le tableau 1 donne un aperçu des types de modifications. Le tableau 2 résume les modifications importantes qui se trouvent dans la version 3.2 de la norme PCI DSS. Tableau 1 : Types de modification 1 Type de modification Directives supplémentaires la condition Définition de l objectif de. Garantit que la rédaction concise de la norme reflète l objectif souhaité des conditions. Explications, définitions et/ou instructions permettant une meilleure compréhension ou délivrant une meilleure information ou une directive à propos d un sujet particulier. Modifications garantissant que les normes sont à jour et tiennent compte des nouvelles menaces et de l évolution du marché. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 2

Tableau 2 : Récapitulatif des modifications Section Tous Tous Correction d erreurs typographiques mineures (grammaire, ponctuation, mise en forme, etc.) et mises à jour mineures incorporées pour une meilleure lisibilité du document. Relation entre les normes PCI DSS et PA-DSS Portée des conditions de la norme PCI DSS Meilleures pratiques d implémentation de la norme PCI DSS dans les processus d affaires courantes Conditions Relation entre les normes PCI DSS et PA-DSS Portée des conditions de la norme PCI DSS Meilleures pratiques d implémentation de la norme PCI DSS dans les processus d affaires courantes Versions de PCI DSS Ajout de directives concernant les menaces de sécurité qui sont en constante évolution et les applications de paiement non prises en charge par le fournisseur sont susceptibles de ne pas offrir le même niveau de sécurité que la version supportée. sur les sites de sauvegarde/rétablissement à prendre en considération pour confirmer la portée des conditions de la norme PCI DSS. Mise à jour de la section Remarque pour clarifier que certains principes d affaires courantes peuvent être des conditions pour certaines entités, comme ceux définis dans l Annexe A3 intitulée Validation complémentaire des entités désignées. Nouvelle section pour décrire l incidence de cette version de la norme PCI DSS sur l ancienne version en vigueur. Directives supplémenta ires Directives supplémenta ires Généralités Généralités Suppression d exemples de protocoles «robustes» ou «sécurisés» dans plusieurs conditions, car ils peuvent faire l objet de modifications à tout moment. Généralités Généralités Suppression d exemples dans plusieurs conditions et/ou procédures de test dans la colonne Directive, et ajout de directives, le cas échéant. Généralités Généralités Modification des «mots de passe/locutions» en «mots de passe/locutions de passage» dans plusieurs conditions dans un souci de cohérence. Généralités Généralités sur le fait que le terme approprié est «Authentification à plusieurs facteurs» plutôt que «Authentification à deux facteurs», car plus de deux facteurs peuvent être utilisés. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 3

Généralités Généralités Suppression des remarques dans les conditions se rapportant à la date d entrée en vigueur du 1er juillet 2015, car celles-ci sont désormais en vigueur. Les conditions concernées sont : 6.5.10, 8.5.1, 9.9, 11.3 et 12.9. 1.1.6 1.1.6 sur l approbation de l utilisation commerciale incluse dans la justification. Suppression d exemples de protocoles «non sécurisés», car ils peuvent faire l objet de modifications conformément aux exigences sectorielles. 1.2.1 1.2.1 Ajout de directives pour clarifier l objectif de la condition. 1.3 1.3 Ajout de directives pour clarifier l objectif de la condition. 1.3.3 Suppression de en tant qu objectif par le biais d autres conditions dans 1.2 et 1.3. 1.3.4 1.3.8 1.3.3 1.3.7 Nouvelle numérotation en raison de la suppression de l ancienne condition 1.3.3. 1.3.6 1.3.5 Mise à jour pour clarifier l objectif de plutôt que l utilisation d un type particulier de technologie. 1.4 1.4 Meilleure flexibilité en spécifiant ou une fonctionnalité équivalente pour offrir une autre solution au logiciel de pare-feu personnel. La condition clarifiée s applique à tous les appareils informatiques portables qui se connectent à Internet en dehors du réseau et qui peuvent également accéder au CDE. 2.1 2.1 La condition clarifiée s applique aux applications de paiement. 2.2.3 2.2.3 Suppression de la remarque et des procédures de test concernant la suppression du SSL/TLS initial et son passage dans la nouvelle Annexe A2. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 4

2.3 2.3 Suppression de la remarque et des procédures de test concernant la suppression du SSL/TLS initial et son passage dans la nouvelle Annexe A2. Suppression de la référence à la «gestion Web», car spécifie déjà «tous les accès administratifs non-console», condition qui par définition comprend tout accès au Web. 3.3 3.3 Mise à jour de pour clarifier que tout affichage du PAN supérieur aux six premiers/quatre derniers chiffres du PAN requiert un besoin professionnel légitime. Ajout de directives sur les scénarios courants de masquage. 3.4.d 3.4.d Mise à jour de la procédure de test pour clarifier que l examen des journaux d audit comprend les journaux d applications de paiement. 3.4.1 3.4.1 Ajout de la remarque pour clarifier que cette condition s applique aussi à toutes les autres conditions de gestion des clés et de cryptage PCI DSS. 3.5.1 Nouvelle condition pour les prestataires de services en vue de conserver une description documentée de l architecture cryptographique. 3.5.1 3.5.3 3.5.2 3.5.4 Nouvelle numérotation suite à l ajout de la nouvelle condition 3.5.1. 3.6.1.b 3.6.1.b Mise à jour de la procédure de test pour clarifier que le test suppose l observation des procédures plutôt que la méthode de génération de clé, car cela ne doit pas faire l objet d une observation. Ajout de directives se rapportant à la définition dans le glossaire de la «Génération de clés cryptographiques» 4.1 4.1 Suppression de la remarque et des procédures de test concernant la suppression du SSL/TLS initial et son passage dans la nouvelle Annexe A2. 6.2 6.2 Ajout de clarification dans la colonne Directive pour indiquer que du correctif de tous les logiciels comprend les applications de paiement. 6.4.4 6.4.4 Mise à jour de afin de s harmoniser avec la procédure de test. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 5

6.4.5 6.4.5 portant sur les processus de contrôle de changement, qui ne sont pas limités aux correctifs et aux modifications logicielles. 6.4.6 Nouvelle condition pour les processus de contrôle de changement, qui consiste à inclure la vérification des conditions de la norme PCI DSS affectées par une modification. 6.5 6.5 pour indiquer que les développeurs doivent suivre une formation actualisée et au moins une fois par an. 6.5.a 6.5.d 6.5.a 6.5.c Suppression de la procédure de test 6.5.b et nouvelle numérotation des autres procédures de test. 7.2 7.2 Mise à jour de, des procédures de test et de la colonne Directive pour indiquer qu au moins un système de contrôle d accès est utilisable. Condition 8 Condition 8 Ajout de la remarque à l introduction de la condition 8 pour indiquer que les conditions d authentification ne s appliquent pas aux comptes utilisés par les consommateurs (par ex. les titulaires de carte). 8.1.5 8.1.5 de destinée à toutes les parties tierces, et non seulement aux fournisseurs, munies d un accès à distance. 8.2.3 8.2.3 Mise à jour de la colonne Directive pour illustrer les modifications des normes sectorielles. 8.3 8.3 sur le fait que le terme approprié est «Authentification à plusieurs facteurs» plutôt que «Authentification à deux facteurs», car plus de deux facteurs peuvent être utilisés. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 6

8.3 8.3, 8.3.1, 8.3.2 Développement de 8.3 en sousconditions pour exiger une authentification à plusieurs facteurs de tous les membres du personnel dotés d un accès administratif nonconsole et d un accès à distance au CDE. La nouvelle condition 8.3.2 porte sur l authentification à plusieurs facteurs de tous les membres du personnel dotés d un accès à distance au CDE (incorpore l ancienne condition 8.3). La nouvelle condition 8.3.1 gère l authentification à plusieurs facteurs de tous les membres du personnel dotés d un accès administratif non-console au CDE. pour 8.3.1 9.1.1 9.1.1 du mode d utilisation des caméras vidéo ou des mécanismes de contrôle d accès (ou les deux). 9.5.1.a 9.5.1.b 9.5.1 Association des procédures de test pour indiquer que l évaluateur vérifie que l emplacement de stockage est examiné au moins une fois par an. 10.8, 10.8.1 Nouvelle condition pour les prestataires de services afin qu ils détectent et signalent les pannes des systèmes de contrôle de sécurité critiques. 10.8 10.9 Nouvelle numérotation suite à l ajout de la nouvelle condition 10.8. 11.2.1 11.2.1 portant sur toutes les vulnérabilités à «risque élevé», qui doivent être traitées conformément à la classe de vulnérabilité de l entité (comme défini dans 6.1) et vérifiées par de nouvelles analyses. 11.3.4 11.3.4 Ajout de la procédure de test 11.3.4.c pour confirmer que le test de pénétration est effectué par une ressource interne qualifiée ou un tiers externe qualifié. 11.3.4.1 Nouvelle condition pour les prestataires de services en vue d effectuer le test de pénétration sur les contrôles de segmentation au moins une fois par semestre. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 7

11.5.a 11.5.a Suppression de la mention «au sein de l environnement des données de titulaires de carte» dans la procédure de test, dans un souci de cohérence avec. En effet, cette condition peut s appliquer aux systèmes critiques situés en dehors du CDE désigné. 12.3.3 12.3.3 Reformatage de la procédure de test à des fins de simplification. 12.4 Nouvelle condition pour l équipe de direction des prestataires de services devant définir des responsabilités relatives à la protection des données de titulaires de carte et un programme de conformité à la norme PCI DSS. 12.4 12.4.1 Nouvelle numérotation suite à l ajout de la nouvelle condition 12.4. 12.6 12.6 de l objectif du programme de sensibilisation à la sécurité, qui doit sensibiliser le personnel à l importance de la politique et des procédures de sécurité des données de titulaires de carte. 12.8.1 12.8.1 sur le fait que la liste des prestataires de services doit inclure une description des services fournis. 12.8.2 12.8.2 Ajout de directives stipulant que la responsabilité des prestataires de services dépendra du service fourni et de l accord entre les deux parties. 12.10.2 12.10.2 pour préciser que l examen du plan de réponse aux incidents englobe tous les éléments répertoriés dans 12.10.1. 12.11, 12.11.1 Nouvelle condition destinée aux prestataires de services qui doivent effectuer des examens au moins une fois par trimestre pour confirmer que le personnel respecte les politiques de sécurité et les procédures opérationnelles. Annexe A Annexe A1 Nouvelle numérotation dans l Annexe «Autres conditions de la norme PCI DSS s appliquant aux fournisseurs d hébergement partagé» compte tenu de l insertion de nouvelles annexes. Directives supplémenta ires 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 8

Annexe A2 Annexe A3 Nouvelle annexe avec des conditions supplémentaires pour les entités utilisant le SSL/TLS initial en insérant de nouvelles dates butoir de migration pour supprimer le SSL/TLS initial. Nouvelle annexe pour insérer la section «Validation complémentaire des entités désignées (DESV)», qui faisait précédemment partie d un document distinct. 2006-2016 Conseil des normes de sécurité PCI, LLC. Tous droits réservés. Page 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back