Application Security Resources

Sub Text of Application Security Resources

Est-ce que la norme de sécurité PCI-DSS signifie Données personnelle et Sécurité des données des cartes ?

June 26, 2014 - by Irene Abezgauz

Tiny Url for this post: http://tinyurl.com/qg8bocx

Les standards de sécurité des données du secteur des cartes de paiement (PCI DSS) ont été développés pour encourager et améliorer la sécurité des données des informations personnelles et des données des détenteurs de cartes. Elles facilitent l’adoption générale mondialement de mesures de sécurité cohérentes concernant les données et fournissent une base d’exigences techniques et d’utilisation pour protéger les données des détenteurs de cartes. Les standards PCI DSS s’appliquent à toutes les entités impliquées dans le traitement des cartes de paiement, notamment les commerces, les traitants, les acheteurs, les émetteurs ainsi que toute autre entité stockant, traitant ou transmettant les données des détenteurs de cartes et / ou autres données sensibles d’authentification. PCI Security Standards Council, LLC [US]).

Tous les membres du secteur des cartes de paiement (institutions financières, sociétés de cartes de crédit et commerçants) doivent se conformer à ces standards. Les sociétés qui sont en conformité sont plus difficiles à attaquer.

Oppressées par de constantes législations créant de nouvelles réglementations, demandes et procédures d’audit, de plus en plus d’organisations craignent les exigences de la conformité obligatoire. La plupart des exigences de conformité sont perçues comme un fardeau inutile mis en place pour protéger des entités extérieures. Des réglementations de conformité correctement implantées peuvent toutefois, et devraient, protéger les organisations des intrusions contre la sécurité, des actions en justice et des pertes de données professionnelles. Les standards PCI DSS 3.0 ont été créés en reprenant les standards PCI DSS 2.0 et en les combinant aux avis d’experts du secteur à propos des avantages, des utilisations et des limitations des documents précédents concernant les standards.

En général, les standards PCI V3.0 suivants doivent être corrects pour qu’un détaillant soit considéré comme étant en conformité :

  • Maintenir et tester un réseau sûr – surveiller et tester régulièrement le réseau sur lequel transitent les données des détenteurs de cartes.
  • Cartographier le flux des données des détenteurs de cartes – identifier tous les endroits où les contrôles PCI doivent s’appliquer et s’assurer qu’aucune donnée ne se retrouve hors de ce périmètre de sécurité, dans l’ensemble des applications et des systèmes, pour comprendre les frontières de l’environnement des données des détenteurs de cartes.
  • Protéger les données des détenteurs de cartes – se concentre sur la manière dont les données des détenteurs de cartes sont stockées et transmises. Lorsqu’un client effectue un achat sur un site Web, les données du détenteur de carte envoyées par Internet doivent être cryptées de manière sûre à l’aide d’un algorithme testé et homologué par la profession, ayant des clés de cryptographie puissantes. Les données du détenteur de carte doivent être protégées au sein de l’organisation avec l’environnement de données du détenteur de carte, et toutes données d’emplacements ultérieurs sont conservées.
  • Maintenir un programme de gestion de vulnérabilité – les systèmes, les logiciels antivirus, le matériel informatique, les systèmes d’exploitation et les logiciels doivent gardés à niveau (mises à jour).
  • Implémenter des méthodes puissantes de contrôle d’accès – attribuer un identifiant unique à chaque personne ayant accès aux données protégées par PCI.
  • Maintenir un programme de connaissance de la sécurité – s’assurer que les employés savent et comprennent l’importance des données des détenteurs de cartes et ses implications.

Ces six éléments sont clairement prévus pour garantir la sécurité et empêcher les fuites de données. Les standards PCI DSS 3.0 placent une emphase plus grande sur la garantie de la sécurité par la conformité plutôt que sur la conformité au nom de la conformité. C’est une démarche de la part du Conseil des standards PCI pour recadrer l’attention précédemment mise sur la réussite de la conformité vers celle de la réussite des objectifs de cette conformité, qui sont la sécurité des données personnelles et des données de cartes.

L’application des réglementations de conformité est logique pour les affaires et la conformité a une approche positive envers les exigences de la sécurité informatique. La conformité, tout comme la sécurité, s’occupe de gérer les risques lorsque le risque de brèches dans la conformité peut provoquer des pertes financières, des intrusions, la perte de la clientèle ou même la cessation des activités commerciales (ce qui s’est déjà produit). Les risques d’un système incorrectement sécurisé sont très semblables aux risques de la conformité, à part que la sécurité n’est pas obligatoire alors que la conformité l’est.

La rétention des données fait partie de la conformité aux réglementations et il s’agit d’un défi incontournable. La rétention des données peut se révéler incompatible avec la sécurité, car plus il faut conserver les données, plus il faut les sécuriser. La conformité aux réglementations de la profession peut sembler contraire à la confidentialité des utilisateurs mais les réglementations de rétention de données demandent que les propriétaires des données conservent des documents détaillées de leur activité d’utilisateur au-delà du temps nécessaire pour des opérations normales d’affaires.

Des millions d’informations de cartes de crédit numériques sont révélées chaque année. En juin 2013 Facebook a communiqué avoir perdu 6 millions d’adresses e-mail et numéros de téléphone d’utilisateurs. The Target Corp. a admis que 110 millions de cartes de paiement de clients étaient à risque. Adobe a déclaré que des attaques avaient mis à jour les identifiants, mots de passe et informations de cartes de crédit de 2,9 millions de clients. La liste est longue.

Quasiment toutes les pertes de données sont le fait de pirates informatiques découvrant et exploitant des vulnérabilités bien connues dans des applications Web, sur des serveurs de données Web ou sur des réseaux. Si toutes les entreprises effectuant le traitement de données de cartes trouvaient et éliminaient leurs vulnérabilités, les pertes de données de cartes diminueraient de manière substantielle. Pour être conforme, il ne s’agit plus désormais de cocher des cases et de s’assurer que tout est en place durant la courte période de temps de l’audit PCI. La conformité moderne combine la conformité et la sécurité, la conformité constituant une motivation de sécurité, afin de garantir la confidentialité et d’empêcher les pertes.

L’unification de la conformité et de la gestion de la sécurité, née de la nécessité, a pour résultat des économies d’échelle. La combinaison des deux peut entraîner une efficacité diminuant les frais généraux, à la fois de temps et d’argent. C’est ce que les standards PCI DSS 3.0 ont pour objectif de faire. Une conformité conduisant à un niveau élevé de sécurité, protégeant aussi bien les organisations que les utilisateurs.

 


 

 

This post is also available in: Anglais

AboutIrene Abezgauz

Irene Abezgauz (@IreneAbezgauz) has ten years of experience in information and application security, focusing on application security testing and research. She is the Product Manager of Seeker, the new generation of automatic application security testing, as well as the leader of the research center in the company. She has discovered and published numerous vulnerabilities in products of leading vendors, and is a frequent speaker at professional conferences.

Learn more about Seeker

More Blog