La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS 4.0.1) est un ensemble d’exigences de sécurité visant à protéger les données des titulaires de cartes, y compris les numéros de compte principal (PAN), les noms, les dates d’expiration, les codes de service et d’autres informations sensibles tout au long de leur cycle de vie.
La norme PCI DSS 4.0.1 s’applique à tout commerçant, prestataire de services ou autre entreprise qui stocke, traite ou transmet des données de titulaires de cartes, ainsi qu’à toute entreprise connectée aux systèmes qui stockent, traitent ou transmettent des données de titulaires de cartes. (Ces systèmes sont appelés l’environnement de données des titulaires de cartes, ou CDE.) La norme PCI DSS définit des contrôles de sécurité, des processus et des tests détaillés que les entreprises doivent mettre en œuvre pour protéger les données des titulaires de cartes. Ces mesures de sécurité couvrent un large éventail de domaines fonctionnels au sein de l’environnement des données des titulaires de cartes, y compris les transactions de commerce électronique, les systèmes de point de vente, les points d’accès sans fil, les appareils mobiles, le cloud computing et les systèmes de stockage sur papier.
La conformité à la norme PCI DSS exige des commerçants et des prestataires de services qu'ils fassent des rapports annuels, ainsi que des rapports supplémentaires suite à des changements significatifs apportés à l'environnement CDE. La validation de la conformité implique également une évaluation continue de la posture de sécurité d’une organisation et des actions correctives continues pour combler toute lacune en matière de politique de sécurité, de technologie ou de procédures.
Les organisations et les prestataires de services peuvent être évalués par un auditeur de sécurité qualifié (QSA) qui délivre une attestation de conformité (AOC) lorsque l'évaluation est réussie.
La première version de la norme PCI DSS a été publiée en 2004 par les marques de cartes de paiement American Express, Discover, JCB International, MasterCard et Visa, qui ont collectivement formé le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) pour gérer les exigences techniques de la norme. En 2020, l'association de cartes bancaires UnionPay a rejoint le PCI SSC. La norme PCI DSS est périodiquement mise à jour pour tenir compte des dernières menaces de cybersécurité pesant sur les données des cartes de paiement, telles que le vol d'identité, la fraude et les violations de données.
IBM est un fournisseur de services de niveau 1 pour la norme PCI DSS. Les clients peuvent créer des environnements et des applications conformes à la norme PCI DSS à l'aide d'IBM Cloud.
De nombreux services de plateforme IBM Cloud disposent d'une attestation de conformité (AOC) PCI DSS délivrée par un auditeur de sécurité qualifié (QSA).
Accélérez votre conformité grâce aux services IBM Cloud
La version la plus récente de la norme PCI DSS (4.0.1) a été publiée en juin 2024. Les entreprises doivent mettre en œuvre ces 12 exigences d’ici au 31 mars 2025 pour se mettre en conformité.
IBM Cloud propose la suite de services suivante qui vous aidera à répondre aux exigences spécifiques de la norme PCI DSS et à accélérer votre parcours de conformité.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services apporte une sécurité et des performances de pointe à votre contenu web externe et à vos applications Internet avant qu'ils n'atteignent le nuage.
IBM Cloud Direct Link
La vitesse et la fiabilité d'IBM Cloud Direct Link vous permettent d'étendre le réseau du centre de données de votre entreprise sans toucher à l'Internet public.
Dispositifs de passerelle IBM Cloud
Les passerelles sont des dispositifs qui vous permettent de mieux contrôler le trafic réseau, d'accélérer les performances de votre réseau et d'en renforcer la sécurité.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway vous aide à connecter et à gérer vos réseaux IBM Cloud Virtual Private Cloud (VPC).
Dispositif de sécurité FortiGate
Déployez une paire de dispositifs virtuels FortiGate dans votre environnement, ce qui peut vous aider à réduire les risques en implémentant des contrôles de sécurité critiques au sein de votre infrastructure virtuelle.
Pare-feu matériel
Une couche de sécurité essentielle provisionnée à la demande sans interruption de service.
Dispositif de sécurité FortiGate
Déployez une paire de dispositifs virtuels FortiGate dans votre environnement, ce qui peut vous aider à réduire les risques en implémentant des contrôles de sécurité critiques au sein de votre infrastructure virtuelle.
Pare-feu matériel
Une couche de sécurité essentielle provisionnée à la demande sans interruption de service.
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Key Protect for IBM Cloud
Le service IBM Key Protect for IBM Cloud vous aide à provisionner et à stocker des clés chiffrées pour les applications des services IBM Cloud, afin que vous puissiez voir et gérer le chiffrement des données et tout le cycle de vie des clés depuis un emplacement centralisé.
IBM Security and Compliance Center - Courtier de sécurité des données - Manager
Une solution de sécurité de la suite Security and Compliance Center offrant des politiques de chiffrement centralisées et l’audit des données au niveau des différentes sources de données.
IBM Cloud Hyper Protect Virtual Servers
Un environnement d’exécution de conteneur de calcul confidentiel entièrement géré qui permet le déploiement de workloads conteneurisées sensibles dans un environnement hautement isolé avec une assurance technique.
IBM Cloud Hardware Security Module
Protège l'infrastructure cryptographique en sécurisant la gestion, le traitement et le stockage des clés cryptographiques à l'intérieur d'un dispositif matériel inviolable.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
Services IBM Cloud Storage
Espace évolutif, sécurisé et rentable pour stocker vos données, tout en prenant en charge les tâches traditionnelles et cloud natives. Provisionnez et déployez trois types de stockage : objet, bloc et fichier.
Services IBM Cloud Database
Libérez les développeurs et l'informatique des tâches complexes et chronophages, y compris le déploiement et la mise à jour des logiciels d'infrastructure et de base de données, les opérations d'infrastructure et la sauvegarde.
IBM Cloud Direct Link
La vitesse et la fiabilité d'IBM Cloud Direct Link vous permettent d'étendre le réseau du centre de données de votre entreprise sans toucher à l'Internet public.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway vous aide à connecter et à gérer vos réseaux IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
Le service IBM Key Protect for IBM Cloud vous aide à provisionner et à stocker des clés chiffrées pour les applications des services IBM Cloud, afin que vous puissiez voir et gérer le chiffrement des données et tout le cycle de vie des clés depuis un emplacement centralisé.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services apporte une sécurité et des performances de pointe à votre contenu web externe et à vos applications Internet avant qu'ils n'atteignent le nuage.
IBM Cloud Direct Link
La vitesse et la fiabilité d'IBM Cloud Direct Link vous permettent d'étendre le réseau du centre de données de votre entreprise sans toucher à l'Internet public.
Dispositif de sécurité FortiGate
Déployez une paire de dispositifs virtuels FortiGate dans votre environnement, ce qui peut vous aider à réduire les risques en implémentant des contrôles de sécurité critiques au sein de votre infrastructure virtuelle.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services apporte une sécurité et des performances de pointe à votre contenu web externe et à vos applications Internet avant qu'ils n'atteignent le nuage.
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
IBM Cloud Container Registry
Stockez et distribuez des images de conteneur dans un registre privé entièrement géré. Appuyez sur des images privées pour les exécuter facilement dans IBM Cloud Kubernetes Service et dans d'autres environnements d'exécution.
IBM Cloud Continuous Delivery
Adoptez un DevOps adapté à l’entreprise. Créez des chaînes d'outils sécurisées qui prennent en charge les tâches de livraison de votre application. Automatisez les builds, les tests, les déploiements et plus encore.
IBM Cloud Kubernetes Service
Déployez des clusters sécurisés et hautement disponibles dans une expérience Kubernetes native.
IBM Cloud App ID
Ajoutez facilement l’authentification aux applications Web et mobiles. Améliorez vos applications avec des fonctionnalités de sécurité avancées telles que l’authentification multifacteur et l’authentification unique.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management authentifie les utilisateurs en toute sécurité et contrôle l’accès à toutes les ressources de manière cohérente sur la plateforme IBM Cloud.
IBM Cloud App ID
Ajoutez facilement l’authentification aux applications Web et mobiles. Améliorez vos applications avec des fonctionnalités de sécurité avancées telles que l’authentification multifacteur et l’authentification unique.
IBM Cloud Secrets Manager
Créez des secrets de manière dynamique et louez-les à des applications tout en contrôlant l'accès depuis un seul endroit. Basé sur la technologie open source HashiCorp Vault.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management authentifie les utilisateurs en toute sécurité et contrôle l’accès à toutes les ressources de manière cohérente sur la plateforme IBM Cloud.
IBM Cloud adopte plusieurs mesures pour accroître la sécurité physique :
- Sécurité physique du périmètre du centre de données
- Contrôles et enregistrement des accès d'entrée et de sortie
- Bureaux, salles et installations sécurisés
- Protection contre les menaces externes et environnementales
- Redondance des équipements d’alimentation et de réseau
- Élimination sécurisée des équipements pendant le déprovisionnement
- Politique et sécurité des RH de l'entreprise pour l'intégration, la formation et le départ du personnel
IBM Cloud Flow Logs for VPC
Activez la collecte, le stockage et la présentation d'informations sur le trafic IP (Internet Protocol) à destination et en provenance des interfaces réseau de votre cloud privé virtuel (VPC).
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management authentifie les utilisateurs en toute sécurité et contrôle l’accès à toutes les ressources de manière cohérente sur la plateforme IBM Cloud.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
IBM Cloud Logs
Améliorez l'observabilité des journaux avec IBM Cloud Logs pour améliorer les performances de votre infrastructure et de vos applications.
IBM Cloud Monitoring
Surveillance et dépannage du cloud pour l’infrastructure, les services cloud et les applications.
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM Cloud Logs
Améliorez l'observabilité des journaux avec IBM Cloud Logs pour améliorer les performances de votre infrastructure et de vos applications.
IBM Cloud Monitoring
Surveillance et dépannage du cloud pour l’infrastructure, les services cloud et les applications.
Foire aux questions
La version la plus récente de la norme PCI DSS 4.0.1 a été publiée en mars 2022. Elle énumère ces 12 exigences pour protéger les données des titulaires de cartes. Les entreprises doivent mettre en œuvre ces exigences d’ici le 31 mars 2025 pour se conformer à la norme.
Installer et maintenir les contrôles de sécurité réseau
Les contrôles de sécurité du réseau (CSR) peuvent inclure des pares-feux, des dispositifs virtuels, des systèmes de conteneurs, des systèmes de sécurité cloud et d'autres technologies qui contrôlent l'accès aux systèmes et aux données.
Appliquer des configurations sécurisées à tous les composants du système
Les mots de passe par défaut et autres paramètres système par défaut fournis par les fournisseurs ne doivent pas être utilisés, car ils sont vulnérables aux cyberattaques.
Protéger les données stockées des titulaires de carte
Les organisations ne doivent pas stocker les données des titulaires de carte à moins que cela ne soit nécessaire pour des besoins métier. Si elles sont stockées, elles doivent être rendues illisibles par chiffrement, masquage ou autres moyens.
Protéger les données des titulaires de carte par un cryptographie fort lors de la transmission sur des réseaux ouverts et publics
Pour empêcher les pirates d'accéder à des informations sensibles telles que les numéros de carte et les informations personnelles identifiables (PII), les données doivent être chiffrées avant et/ou pendant les transmissions sur les réseaux publics.
Protéger tous les systèmes et réseaux contre les logiciels malveillants
Maintenez un logiciel antivirus et d'autres défenses contre les logiciels malveillants tels que les logiciels espions, les enregistreurs de frappe, les ransomwares, les scripts et autres virus.
Développer et maintenir des systèmes et des logiciels sécurisés
En appliquant les derniers correctifs de sécurité et en suivant des pratiques sûres lors du développement d'applications, les organisations peuvent contribuer à minimiser le risque de violation des données.
Limiter l'accès aux composants du système et aux données des titulaires de carte en fonction du besoin légitime d'accès
De solides mesures de contrôle d'accès doivent garantir que les utilisateurs autorisés ne voient que les informations des titulaires de carte nécessaires à l'exécution de leurs tâches.
Identifier les utilisateurs et authentifiez l'accès aux composants du système
Un identifiant unique avec des données d'authentification traçables doit être attribué à chaque personne disposant d'un accès informatique aux systèmes et aux données sensibles.
Restreindre l'accès physique aux données des titulaires de carte
Pour empêcher les personnes non autorisées de retirer du matériel ou des copies papier contenant des données des titulaires de carte, l'accès physique aux systèmes doit être restreint.
Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de cartes
La possibilité d'automatiser l'enregistrement et la surveillance des systèmes et des données sensibles peut aider à détecter les activités suspectes et à soutenir l'analyse informatique légale suite à une violation.
Tester régulièrement la sécurité des systèmes et des réseaux
Étant donné que les cybercriminels recherchent constamment de nouvelles vulnérabilités dans des environnements informatiques en constante évolution, des tests d'intrusion et des analyses de vulnérabilité doivent être effectués régulièrement.
Soutenir la sécurité des informations avec les politiques et les programmes de l’organisation
Les entreprises doivent créer une politique de sécurité de l’information complète qui définit les procédures d’identification et de gestion des risques, la formation continue de sensibilisation à la sécurité et la conformité à la norme PCI DSS 4.0.1.
Les entreprises régies par la norme PCI DSS 4.0.1 doivent documenter leur conformité chaque année. Les entreprises de plus grande envergure sont tenues de soumettre un rapport détaillé sur la conformité (ROC) et une attestation de conformité (AOC). Les documents ROC et AOC doivent être remplis et signés par un auditeur de sécurité qualifié (QSA) qui a été certifié par le Conseil de sécurité des normes PCI. Les petites et moyennes entreprises peuvent remplir un questionnaire d’auto-évaluation (SAQ) pour valider leur conformité.
Si une organisation effectue la transmission des données des titulaires de carte sur internet, elle peut également être tenue de mettre en œuvre une gestion des vulnérabilités pour maintenir un réseau sécurisé. Pour atteindre la conformité, un fournisseur d'analyse agréé (ASV) certifié par le PCI SSC doit effectuer une analyse trimestrielle des vulnérabilités pour tester la sécurité du réseau.
Les exigences de rapport pour la norme PCI DSS 4.0.1 diffèrent en fonction du nombre de transactions traitées annuellement par une entreprise. Il existe quatre niveaux de conformité.
Niveau 1
Plus de 6 millions de transactions par carte de paiement par an. Doit soumettre un rapport de conformité rempli par un auditeur de sécurité qualifié. Un fournisseur d'analyse agréé doit effectuer une analyse trimestrielle des vulnérabilités du réseau.
Niveau 2
Un million à 6 millions de transactions par carte de paiement par an. Doit répondre à un questionnaire d’auto-évaluation et éventuellement effectuer une analyse trimestrielle des vulnérabilités du réseau.
Niveau 3
20 000 à 1 million de transactions par carte de paiement par an. Doit répondre à un questionnaire d’auto-évaluation et éventuellement effectuer une analyse trimestrielle des vulnérabilités du réseau.
Niveau 4
Moins de 20 000 transactions par carte par an. Doit répondre à un questionnaire d’auto-évaluation et éventuellement effectuer une analyse trimestrielle des vulnérabilités du réseau.
Bien que les commerçants et les prestataires de services de paiement soient tenus de respecter la norme PCI DSS 4.0.1, leur conformité n’est pas exigée par la loi, les gouvernements ni même le PCI Security Standards Council. En revanche, la conformité est gérée par les sociétés de cartes de crédit, telles que Visa ou MasterCard, et par les acquéreurs, qui sont des banques ou des institutions financières qui traitent les paiements par carte.
Une fois par an, les entreprises qui traitent ou stockent des données des titulaires de cartes doivent valider leur adhésion à la norme PCI DSS 4.0.1. Si une entreprise externalise son traitement des paiements, elle doit tout de même confirmer que les transactions par carte de crédit sont protégées par les exigences de la norme PCI DSS 4.0.1.
Les amendes pour non-conformité à la norme PCI DSS 4.0.1 sont fixées par les marques de cartes de paiement et négociées entre elles, le commerçant ou le prestataire de services, et les banques ou autres institutions financières touchées. Les marques de cartes de paiement ne publient pas de barèmes d’amendes ou de frais, et ne mettent généralement pas les informations sur les sanctions à la disposition du public.
En règle générale, les amendes pour non-conformité peuvent aller de 5 000 à 10 000 dollars pendant les trois premiers mois de non-conformité, et de 50 000 à 100 000 dollars par mois après six mois de non-conformité. En cas de violation de données, les commerçants ou prestataires de services non conformes peuvent se voir infliger une amende supplémentaire de 50 à 90 dollars par client, jusqu'à un maximum de 500 000 dollars.
Les marques de cartes de paiement peuvent imposer des amendes beaucoup plus élevées à leur discrétion, et la sanction finale négociée pour la non-conformité d’une entreprise à la norme PCI DSS 4.0.1, en particulier la non-conformité qui conduit à une violation de données, peut s’élever à des millions ou à des centaines de millions de dollars pour couvrir les coûts des enquêtes, des réclamations gouvernementales, des recours collectifs, etc.
En plus des amendes, les organisations non conformes peuvent se voir interdire de traiter les transactions par carte de paiement.
Protection des données sensibles
Les conséquences d’une violation de données impliquant des informations sur les titulaires de cartes sont graves. Outre les amendes, les sanctions légales et les atteintes à la réputation, les entreprises peuvent subir la perte de clients actuels et potentiels. Les exigences de la norme PCI DSS 4.0.1 contribuent à la lutte contre le vol de données sensibles.
Renforcer la confiance des clients
La fraude et le vol d’identité étant fréquemment médiatisés, les consommateurs peuvent être réticents à fournir aux commerçants des informations sensibles sur leur carte de crédit. La conformité à la norme PCI DSS 4.0.1 permet aux clients d’avoir confiance dans la protection de leurs données et de se sentir plus en sécurité lorsqu’ils effectuent des achats.
Soutenir une conformité réglementaire plus large
Bien que la norme PCI DSS 4.0.1 ne soit pas une obligation légale, les contrôles de sécurité qu’elle met en place peuvent aider les entreprises à se conformer aux réglementations gouvernementales. Certaines parties de la norme PCI DSS 4.0.1 complètent les lois sur la protection des données telles que la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996, la loi Sarbanes Oxley (SOX) et le règlement général sur la protection des données (RGPD).
Unifiez la sécurité, la conformité et la visibilité des risques dans les environnements multicloud hybrides.
Créez une infrastructure évolutive à moindre coût, déployez instantanément de nouvelles applications et faites évoluer les charges de travail critiques et sensibles en fonction de la demande, le tout au sein d'une plateforme ultra sécurisée.
Préparez-vous au mieux pour faire face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
Les données à caractère personnel sont des informations qui peuvent être utilisées pour identifier l’identité de cette personne, telles que son numéro de sécurité sociale, son nom complet ou son adresse e-mail.
La sécurité réseau est le domaine de la cybersécurité qui se concentre sur la protection des réseaux informatiques contre les cybermenaces.