Les émetteurs de cartes bancaires et les acteurs de l’économie en ligne auront deux ans pour mettre en œuvre ces changements.
La nouvelle version 4.0 de la norme de sécurité de l’industrie des cartes de paiement (PCI DSS) apporte un certain nombre de modifications importantes. Nous vous proposons de faire un point sur ces évolutions.
Nouveautés de la norme PCI DSS version 4.0
Pour commencer, les nouvelles directives PCI mettent l’accent sur le fait que la sécurité représente aujourd’hui un processus continu. Cela signifie que les entreprises auront à présent plus de flexibilité dans leur manière d’atteindre leurs objectifs de sécurité, y compris dans la façon dont elles quantifient le risque. En conséquence, là où l’on parlait de pare-feu, on utilise désormais le terme générique de « sécurité réseau » tout en soulignant l’importance d’une perspective Zero Trust (un modèle de sécurité qui consiste à réduire la confiance implicite propre aux stratégies traditionnelles) plus complète. Ces nouveautés reflètent la maturité de la norme et l’évolution des pratiques en matière de sécurité des données, notamment depuis la première version du PCI DSS.
PCI a noué un partenariat avec Europay, Mastercard et Visa dans le but de mettre en œuvre l’utilisation de la norme de sécurité PCI 3DS lors de l’autorisation des transactions. Cette norme a déjà été adoptée par les principaux émetteurs de cartes bancaires et porte un nom différent selon la marque concernée (Mastercard Identity Check, American Express SafeKey, Visa Secure, etc.). Conçue pour réduire les actes de fraude, en particulier ceux qui touchent les transactions en ligne, elle intègre les processus d’authentification directement aux flux de validation des paiements, ce qui permet à l’acheteur de bénéficier d’une meilleure expérience d’e-commerce. Les normes 3DS « amélioreront l’authentification dynamique dans les environnements d’e-commerce et de m-commerce, tout en s’adaptant à la généralisation progressive des paiements mobiles et en protégeant ces transactions contre la fraude », explique Emma Sutcliffe (PCI).
L’un des changements les plus notables est l’élargissement des exigences de chiffrement et d’authentification multifacteur (MFA), qui vise à protéger tous les comptes ayant accès aux données du titulaire d’une carte. Les normes requièrent également la modification annuelle des mots de passe, qui doivent comporter au moins 15 caractères, ainsi qu’une évaluation des privilèges d’accès tous les six mois. Tous ces critères renforcent certes l’efficacité de la protection des données, mais ils sont aussi synonymes d’un effort accru du côté des entreprises et des banques.
Comme le montre la frise chronologique ci-dessous, les émetteurs de cartes bancaires et les acteurs de l’économie en ligne auront deux ans pour implémenter ces changements, le temps nécessaire pour s’organiser et tester les nouveaux processus d’authentification et de chiffrement.
Source : PCI DSS
Ces changements, plus évolutifs que révolutionnaires, impliquent certains points particulièrement importants pour les PME :
- Tout d’abord, si vous n’avez pas encore mis en place une stratégie MFA pour vos comptes clients, il est temps pour votre entreprise de vous y mettre et de déterminer la façon dont vous entendez vous conformer aux réglementations de la PCI DSS v4.0.
- Deuxièmement, vous devez inspecter vos systèmes de stockage des données des titulaires de cartes et garantir le déploiement d’une solution de chiffrement appropriée.
- Enfin, vous devez auditer vos flux de travail e-commerce pour veiller également à leur conformité aux nouvelles règles PCI DSS v4.0.