Le PCI Council annonce les modifications prévues aux normes PCI DSS et PA-DSS

— La version 3,0 sera axée sur la souplesse, l'éducation et la sensibilisation ainsi que sur la sécurité à titre de responsabilité partagée —

Le PCI Security Standards Council (PCI SSC), un forum international ouvert pour le développement de normes de sécurité des cartes de paiement, a publié aujourd'hui le document PCI Data Security Standard (PCI DSS) and Payment Application Data Security Standard (PA-DSS) 3,0 Change Highlights (principales modifications de la version 3,0 de la norme de sécurité des données (PCI DSS) et de la norme de sécurité des données d'application de paiement (PA-DSS)), qui donne un aperçu de la nouvelle version des normes dont la publication est prévue pour novembre 2013. Les modifications contribueront à l'adoption des normes PCI DSS par les entreprises dans les activités quotidiennes. Elles seront plus souples et mettront un accent prononcé sur l'éducation, la sensibilisation et la sécurité à titre de responsabilité partagée.

Le document de sept pages fait partie de l'engagement du Conseil à fournir autant de renseignements que possible durant le processus de développement et à éviter aux entreprises tout imprévu dans leur planification de la sécurité PCI. En particulier, le sommaire aidera les organisations participantes et la collectivité d'évaluation à se préparer à l'examen et à la discussion de l'ébauche de versions des normes lors des rencontres de 2013 devant se tenir en septembre et en octobre.

Les modifications aux normes se fondent sur les commentaires des constituants internationaux du Conseil concernant le cycle de vie de développement des normes PCI DSS et PA-DSS et en réponse aux besoins du marché. Les principales motivations de la mise à jour 3,0 sont notamment : les lacunes en matière d'éducation et de sensibilisation, la faiblesse des mots de passe et les problèmes d'authentification, les problèmes de sécurité associés à des tiers, la lenteur de la détection automatique des logiciels malveillants et des autres agents menaçants et l'incohérence des évaluations.

« De nos jours, la plupart des organisations comprennent bien la norme PCI DSS et son importance dans la sécurisation des données enregistrées par les cartes, mais la mise en œuvre et la maintenance de la norme demeurent complexes, en particulier à cause de la complexité croissante des environnements commerciaux et technologiques », a déclaré Bob Russo, directeur général de PCI SSC. « Le défi qui se pose maintenant à nous réside dans l'atteinte du juste équilibre entre la souplesse, la rigueur et l'uniformité des normes tout en assurant la sécurité des paiements. Il s'agit là de l'objectif des modifications que nous apportons à la version 3,0 ».

S'appuyant sur les commentaires de l'industrie, en 2010 le Conseil a prolongé le cycle de vie de développement des normes de deux à trois ans. L'année supplémentaire permet de recueillir plus de commentaires et donne aux organisations plus de temps pour mettre en œuvre les modifications avant le lancement d'une nouvelle version. La version 3,0 comprendra plus de modifications que la version 2,0 ainsi que plusieurs nouvelles exigences. Voici quelques-uns des éléments dont la mise à jour est proposée :

• Recommandations pour l'adoption de la norme PCI DSS dans les activités quotidiennes et meilleures pratiques pour le maintien d'une conformité continue à la norme PCI DSS
• Politique de sécurité et procédures opérationnelles intégrées à chaque exigence
• Lignes directrices pour toutes les exigences avec le contenu du guide de navigation de la norme PCI DSS
• Souplesse et éducation accrues sur la fiabilité et la complexité des mots de passe
• Nouvelles exigences concernant la sécurité des terminaux de point de vente
• Exigences plus robustes pour les tests de pénétration et la validation de la segmentation
• Considérations relatives aux données des titulaires de carte en mémoire
• Amélioration des procédures de test de manière à clarifier le niveau de validation prévu pour chaque exigence
• Renforcement des exigences de sécurité relatives au cycle de vie de développement des logiciels des fournisseurs d'applications PA-DSS, notamment en ce qui a trait à la modélisation des menaces

Il faut noter que ces mises à jour font encore l'objet d'un examen par la collectivité PCI. Les modifications finales seront déterminées après les rencontres de la collectivité PCI et incorporées aux versions finales des normes PCI DSS et PA-DSS qui seront publiées en novembre.

Le document d'aperçu des modifications, y compris des tableaux illustrant les mises à jour prévues, est présenté sur le site Web de PCI SSC : https://www.pcisecuritystandards.org/security_standards/documents.php

Le Conseil décrira les modifications proposées dans le cadre d'une série de séminaires en ligne destinés à la collectivité PCI et au grand public. Pour s'y inscrire, visitez le site https://www.pcisecuritystandards.org/training/webinars.php

« Les normes PCI DSS et PA-DSS 3,0 fourniront aux organisations le cadre nécessaire pour évaluer le risque lié aux différentes technologies et plateformes ainsi que la souplesse nécessaire pour appliquer ces principes dans leurs propres environnements commerciaux et de paiement, qu'il s'agisse de commerce électronique, d'acceptation mobile ou d'informatique en nuage », a ajouté Troy Leach, directeur de la technologie de PCI SSC.

Les normes PCI DSS et PA-DSS 3,0 seront publiées le 7 novembre 2013 et elle entreront en vigueur le 1er janvier 2014. Cependant, afin de laisser aux entreprises le temps de s'adapter, la version 2,0 restera active jusqu'au 31 décembre 2014.

Pour de plus amples renseignements et pour s'inscrire aux rencontres de 2013 de la collectivité, visitez le site https://www.pcisecuritystandards.org/communitymeeting/2013/

À propos du PCI Security Standards Council

Le PCI Security Standards Council est un forum international ouvert qui est responsable du développement, de la gestion, de l'éducation et de la sensibilisation aux normes de sécurité PCI, dont la norme de sécurité des données (PCI DSS) et les autres normes qui contribuent à l'amélioration de la sécurité des données d'application de paiement. Fondé en 2006 par les principaux émetteurs de cartes de paiement, American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa inc., le Conseil compte plus de 650 organisations participantes représentant des marchands, des banques, des acquéreurs et des fournisseurs du monde entier. Pour en savoir davantage sur la façon de participer à la sécurisation des données d'application de paiement dans le monde, consultez le site pcisecuritystandards.org.

Communiquez en ligne avec le PCI Council sur LinkedIn à l'adresse http://www.linkedin.com/company/pci-security-standards-council

Joignez la conversation sur Twitter : http://twitter.com/#!/PCISSC

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

PCI Security Standards Council
Laura K. Johnson, Ella Nevill
+1-781-876-6250
press@pcisecuritystandards.org
Twitter @PCISSC