PCI-DSS et PA-DSS : versions 3

Le PCI-SSC fait évoluer ses publications pour cadrer avec l’évolution des contextes transactionnels. Très attendus, ces documents prendront effet pour les procédures de mise en conformité, dès le 1er janvier 2014.

Les nouvelles exigences de la norme PCI-DSS incluent notamment :

• l’évaluation des menaces en regard des systèmes jugés peu ciblés,
• un contrôle plus poussé des accès du personnel aux départements sensibles,
• une meilleure protection des outils servant à capturer les données cartes,
• une meilleure gestion des alertes en cas de modification des systèmes, etc.
• l’obligation pour les fournisseurs de services de garantir par écrit la sécurité des données clients qu’ils gèrent.

PA-DSS, pour sa part, insiste notamment sur le rôle des développeurs, avec :

• pour les éditeurs, l’obligation de s’assurer de l’intégrité des codes source pendant le processus de développement,
• pour les éditeurs d’applications de paiement, l’intégration de techniques d’évaluation du risque dans leurs processus de développement.

Éveiller les consciences : c’est l’objectif de ces nouveaux documents qui font une large place à l’information et à l’éducation des parties prenantes. Les acteurs concernés disposent d’un an pour faire auditer leurs systèmes, s’assurer de leur conformité et apporter, le cas échéant, les modifications nécessaires.

Source : communiqué de presse

Cet ensemble de bonnes pratiques intègre les retours de spécialistes des industries concernées. En accord avec l’évolution des technologies, des menaces et des risques, le PCI-SSC complète ses recueils de recommandations en visant l’exhaustivité.

A titre d’exemple, face à l’émergence des supports mobiles et à leur adoption par l’industrie des paiements, le Conseil a publié en 2012 et 2013 plusieurs recommandations dédiées à l’acceptation mobile ; des documents qui prennent en compte l’essor du multicanal et mettent en lumière des menaces émergentes et la complexité des mesures de sécurisation à appliquer.