PCI-DSS et PA-DSS : bientôt de nouvelles mises à jour
Le PCI-SSC s’apprête à publier de nouvelles mises à jour dédiées à la gestion des risques côté commerçants. Entres autres préoccupations, les vulnérabilités et attaques ciblant les dispositifs d’encaissement dans les points de vente et la question récurrente des mots de passe vulnérables.
Les versions 3.0 des normes PCI-DSS et PA-DSS doivent être éditées en novembre prochain. En attendant, le Conseil insiste sur plusieurs points mis à jour ainsi que sur les changements auxquels les commerces doivent s’attendre.
Des changements qui prennent en compte divers retours. Parmi les points évoqués le plus souvent : la faiblesse des procédures d’identification par identifiant et mot de passe, les exigences en matière d’authentification et les risques liés aux intervenants tiers.
Il s’agit de la première mise à jour de ces normes depuis 2010 ; ces nouveaux documents se concentrent sur les commerces, la sécurité de leurs transactions et de leurs données. Le Conseil rappelle que les risques à leur encontre persistent (malware affectant les systèmes d’encaissement notamment).
Des mises à jour attenduesSource : Bank Info Security
Ces documents prennent en compte l’évolution des points de vente et des supports de paiement tout comme l’émergence d’un commerce connecté de plus en plus multicanal.
Les normes PCI sont pensées pour inclure tous types d’environnements et de technologies à mesure qu’ils évoluent ; et ce, aussi longtemps que ces environnements auront à traiter, stocker ou transmettre des données critiques (informations de paiement, données cartes, etc.).
Autre élément, la migration américaine vers EMV est aussi prise en considération : les commerces conformes EMV ne seront pas exempts de se conformer aux exigences du PCI-SSC.