Le PCI Council annonce les modifications prévues aux normes PCI DSS et PA-DSS

Le PCI
Security Standards Council (PCI SSC), un forum international ouvert
pour le développement de normes de sécurité des cartes de paiement, a
publié aujourd’hui le document PCI
Data Security Standard (PCI DSS) and Payment Application Data Security
Standard (PA-DSS) 3,0 Change Highlights (principales
modifications de la version 3,0 de la norme de sécurité des données (PCI
DSS) et de la norme de sécurité des données d’application de paiement
(PA-DSS)), qui donne un aperçu de la nouvelle version des normes dont la
publication est prévue pour novembre 2013. Les modifications
contribueront à l?adoption des normes PCI DSS par les entreprises dans
les activités quotidiennes. Elles seront plus souples et mettront un
accent prononcé sur l?éducation, la sensibilisation et la sécurité à
titre de responsabilité partagée.

Le document de sept pages fait partie de l?engagement du Conseil à
fournir autant de renseignements que possible durant le processus de
développement et à éviter aux entreprises tout imprévu dans leur
planification de la sécurité PCI. En particulier, le sommaire aidera les
organisations participantes et la collectivité d?évaluation à se
préparer à l’examen et à la discussion de l’ébauche de versions des
normes lors des rencontres
de 2013 devant se tenir en septembre et en octobre.

Les modifications aux normes se fondent sur les commentaires des
constituants internationaux du Conseil concernant le cycle
de vie de développement des normes PCI DSS et PA-DSS et en réponse
aux besoins du marché. Les principales motivations de la mise à jour 3,0
sont notamment : les lacunes en matière d?éducation et de
sensibilisation, la faiblesse des mots de passe et les problèmes
d?authentification, les problèmes de sécurité associés à des tiers, la
lenteur de la détection automatique des logiciels malveillants et des
autres agents menaçants et l?incohérence des évaluations.

« De nos jours, la plupart des organisations comprennent bien la norme
PCI DSS et son importance dans la sécurisation des données enregistrées
par les cartes, mais la mise en ?uvre et la maintenance de la norme
demeurent complexes, en particulier à cause de la complexité croissante
des environnements commerciaux et technologiques », a déclaré Bob Russo,
directeur général de PCI SSC. « Le défi qui se pose maintenant à nous
réside dans l’atteinte du juste équilibre entre la souplesse, la rigueur
et l?uniformité des normes tout en assurant la sécurité des paiements.
Il s’agit là de l’objectif des modifications que nous apportons à la
version 3,0 ».

S’appuyant sur les commentaires de l?industrie, en 2010 le Conseil a
prolongé le cycle de vie de développement des normes de deux à trois
ans. L?année supplémentaire permet de recueillir plus de commentaires et
donne aux organisations plus de temps pour mettre en ?uvre les
modifications avant le lancement d’une nouvelle version. La version 3,0
comprendra plus de modifications que la version 2,0 ainsi que plusieurs
nouvelles exigences. Voici quelques-uns des éléments dont la mise à jour
est proposée :

Recommandations pour l’adoption de la norme PCI DSS dans les activités
quotidiennes et meilleures pratiques pour le maintien d’une conformité
continue à la norme PCI DSS
Politique de sécurité et procédures opérationnelles intégrées à chaque
exigence
Lignes directrices pour toutes les exigences avec le contenu du guide
de navigation de la norme PCI DSS
Souplesse et éducation accrues sur la fiabilité et la complexité des
mots de passe
Nouvelles exigences concernant la sécurité des terminaux de point de
vente
Exigences plus robustes pour les tests de pénétration et la validation
de la segmentation
Considérations relatives aux données des titulaires de carte en mémoire
Amélioration des procédures de test de manière à clarifier le niveau
de validation prévu pour chaque exigence
Renforcement des exigences de sécurité relatives au cycle de vie de
développement des logiciels des fournisseurs d?applications PA-DSS,
notamment en ce qui a trait à la modélisation des menaces

Il faut noter que ces mises à jour font encore l?objet d?un examen par
la collectivité PCI. Les modifications finales seront déterminées après
les rencontres de la collectivité PCI et incorporées aux versions
finales des normes PCI DSS et PA-DSS qui seront publiées en novembre.

Le document d?aperçu des modifications, y compris des tableaux
illustrant les mises à jour prévues, est présenté sur le site Web de PCI
SSC : https://www.pcisecuritystandards.org/security_standards/documents.php

Le Conseil décrira les modifications proposées dans le cadre d’une série
de séminaires en ligne destinés à la collectivité PCI et au grand
public. Pour s?y inscrire, visitez le site https://www.pcisecuritystandards.org/training/webinars.php

« Les normes PCI DSS et PA-DSS 3,0 fourniront aux organisations le cadre
nécessaire pour évaluer le risque lié aux différentes technologies et
plateformes ainsi que la souplesse nécessaire pour appliquer ces
principes dans leurs propres environnements commerciaux et de paiement,
qu?il s?agisse de commerce électronique, d?acceptation mobile ou
d?informatique en nuage », a ajouté Troy Leach, directeur de la
technologie de PCI SSC.

Les normes PCI DSS et PA-DSS 3,0 seront publiées le 7 novembre 2013 et
elle entreront en vigueur le 1er janvier 2014. Cependant, afin de
laisser aux entreprises le temps de s?adapter, la version 2,0 restera
active jusqu?au 31 décembre 2014.

Pour de plus amples renseignements et pour s?inscrire aux rencontres de
2013 de la collectivité, visitez le site https://www.pcisecuritystandards.org/communitymeeting/2013/

À propos du PCI Security Standards Council

Le PCI
Security Standards Council est un forum international ouvert qui est
responsable du développement, de la gestion, de l’éducation et de la
sensibilisation aux normes de sécurité PCI, dont la norme de sécurité
des données (PCI
DSS) et les autres normes qui contribuent à l?amélioration de la
sécurité des données d’application de paiement. Fondé en 2006 par les
principaux émetteurs de cartes de paiement, American Express, Discover
Financial Services, JCB International, MasterCard Worldwide et Visa
inc., le Conseil compte plus de 650 organisations participantes
représentant des marchands, des banques, des acquéreurs et des
fournisseurs du monde entier. Pour en savoir davantage sur la façon de
participer à la sécurisation des données d’application de paiement dans
le monde, consultez le site pcisecuritystandards.org.

Communiquez en ligne avec le PCI Council sur LinkedIn à l’adresse http://www.linkedin.com/company/pci-security-standards-council

Joignez la conversation sur Twitter : http://twitter.com/#!/PCISSC

Le texte du communiqué issu d?une traduction ne doit d?aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d?origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.

ACTUALITÉS ÉCONOMIQUES ET FINANCIÈRES | 16 août 2013 3 h 19 min

Le PCI Council annonce les modifications prévues aux normes PCI DSS et PA-DSS

Vidéos récentes

Gwenaëlle Martinet Directrice de l’offre cyber Docaposte : “Notre écosystème français est parfaitement mature”

Alertes sur la dette publique française

Lucie Larguier Directrice Financière Transgene : “On a tout 2024 pour se focaliser sur les données, sur l’avancée des projets”

Arnaud Le Coguic Directeur Financier Icape Group : “On souhaite être un acteur de la consolidation de ce marché”

Denis Supplisson Directeur Général Equasens : “On va trouver de la croissance encore cette année”

Jean-Noël de Galzain Pdg Wallix : “La rentabilité au second semestre 2024”

Economie : L’incroyable renaissance du vinyle en Angleterre – Le marché de l’art en forme – Le géant GE finalise sa scission

Frédéric Cren Directeur Général Inventiva : “Le plus important ce sont les programmes et la fin du recrutement”

Franck Grimaud Directeur Général Délégué Valneva : “Toute la franchise des vaccins du voyageur va être génératrice de cash à partir de 2025”

Philippe Haffner Pdg Haffner Energy : “La mise en avant de notre centre d’essai et de formation de Marolles”