Le PCI SSC organise chaque année un événement ayant pour but de réunir l’ensemble des parties prenantes de l’industrie du paiement, incluant, bien sûr, le consortium, ainsi que les marques de cartes, commerçants, prestataires de services et autres fournisseurs. Cet événement, le PCI Community Meeting, s’est déroulé fin octobre dernier à Dublin, sous la forme de 3 jours de conférences (dont une journée divisée en deux tracks) accompagnées d’un espace « salon » où pouvaient se rencontrer les professionnels du domaine. Finalement, une réunion spéciale entre auditeurs (QSA, ISA et AQSA) menée par des membres du PCI SSC a précédé la clôture de l’événement.
Pour XMCO, et notamment dans le contexte de l’application prochaine du PCI DSS v4.0, cet événement était l’occasion d’échanger avec les auditeurs d’autres organisations et le PCI SSC sur l’interprétation des exigences et les stratégies pouvant être proposées à nos clients. Par ailleurs, c’était aussi l’occasion de collecter des retours d’expérience de mise en œuvre de solutions ou de mise en conformité, proposés par les acteurs du domaine.
Certains supports de présentation des conférences sont disponibles sur le blog du PCI SSC, mais tous ne sont malheureusement pas publics. Si cela vous intéresse particulièrement, les conférences ont été enregistrées et peuvent être obtenues via la PCI SSC Global Content Library. Si vous disposez d’un accès, nous vous recommandons ces trois présentations non techniques :
- « What is new for the PCI DSS v4.0 SAQs » : en tant que commerçant éligible à toute forme de SAQ, ou en tant qu’auditeur, pour bien comprendre les différences de critères d’application des SAQ.
- « JScrambler: Securing different types of payment pages » : en tant que e-commerçant (et notamment éligible à un SAQ A), pour comprendre différents types d’attaques sur les pages de paiement.
- « When a hacker comes knocking: Vulnerability disclosure » : quelle que soit votre activité, un point de vue sur le processus de vulnerability disclosure.
Par ailleurs, nous avons retenu certains messages principaux qui ont été (ré-)itérés ou qui nous semblent avoir été mis en évidence à la suite de cet événement.
Démarrez la transition vers PCI DSS v4.0 aujourd’hui
Si vous êtes concerné par le PCI DSS et que vous n’avez pas démarré le projet de transition vers la version 4.0, démarrez aujourd’hui !
53 nouvelles exigences sont à mettre en œuvre et 11 supplémentaire spécifiquement pour les prestataires de services. Parmi elles, 13 exigences sont à appliquer dès le 31 mars 2024. La mise en œuvre de ces changements et des nouvelles exigences pour les auditeurs nécessitera du temps supplémentaire pour les deux parties et probablement un temps de rodage lors des premiers audits. Si vous ne savez pas par où commencer, nous vous recommandons :
- d’étudier le document d’explication des différences entre les deux versions,
- de réaliser (ou commanditer) une analyse d’écart sur votre environnement,
- en tant qu’auditeur, de consulter le nouveau modèle de ROC (partie I et annexes) et la FAQ sur les Items Noted For Improvement (INFI).
La timeline de transition vers le PCI DSS v4.0 est définitive
Les dates de mise en œuvre obligatoire du PCI DSS v4.0 ne seront pas modifiées : aucun audit ne pourra être terminé en version 3.2.1 après le 31 mars 2024 et l’ensemble des exigences seront applicables dès le 31 mars 2025.
Choisissez vos prestataires avec soin
Le choix d’un prestataire de service est primordial dans un environnement PCI DSS. Ce choix devrait systématiquement impliquer la détermination préalable des besoins fonctionnels et non fonctionnels. Ces derniers devraient inclure la nécessité, ou non, de fournir une attestation de conformité (AOC ou SAQ). Ce besoin devrait être discuté avec votre QSA.
Par ailleurs, n’hésitez pas à demander des tests des solutions proposées et à confirmer la réponse aux exigences de sécurité attendues, toujours avant la contractualisation.
Les SAQ A pour les prestataires de services n’existent pas
Les prestataires de services n’ont que deux options de rapport sur la conformité : ROC ou SAQ D (selon leur « niveau » – c’est-à-dire le nombre de transactions qu’ils traitent, ou qui sont traitées par leurs clients).
Même dans le cadre d’un SAQ A, les prestataires de services devront être en capacité de fournir un SAQ D (portant donc sur l’ensemble des exigences). Par conséquent, une AOC « Merchant » et tout autre SAQ qu’un SAQ D ne sont pas valides pour un prestataire de services !
Parlez avec votre QSA
Parlez à votre QSA des difficultés ou des choix structurants dans l’environnement concerné par l’audit le plus tôt possible : avant l’audit, avant l’implémentation des solutions. L’objectif est de prévenir certaines non-conformités, et donc éviter la charge de travail supplémentaire pour les corriger ou, pire, revenir sur des choix qui ne peuvent être mis en conformité.
Une bonne planification est gage de sécurité
« Poor planning is not an excuse. » – Une mauvaise planification entraînant une non-conformité est souvent difficile à corriger, parfois impossible. La considération des actions à réaliser au fur et à mesure de l’année est un élément primordial du maintien en conformité (donc du déroulement d’un audit sans encombre).
Abonnez-vous aux FAQ
Des articles de réponses aux questions fréquemment posées (FAQ) sont régulièrement publiés et mis à jour par le PCI SSC et sont une source particulièrement intéressante pour rester en veille sur les évolutions des textes et leur interprétation. Dès lors que vous intervenez dans un environnement concerné par une certification PCI, nous vous recommandons de vous abonner à ce bulletin et de le consulter. Que vous soyez auditeur ou audité, ils contiennent des informations utiles qui préciseront votre compréhension des exigences.
La conformité n’est pas la sécurité, elle en fait partie
L’organisation de la sécurité sur la base d’une approche par les risques n’est pas incompatible avec la conformité à des référentiels d’exigences tels que PCI DSS. Plusieurs conférences ont montré que cette conformité est souvent mise en œuvre de manière distincte, ce qui est probablement à mettre en corrélation avec les difficultés de maintien de la conformité de bon nombre d’organisations.
Les bonnes pratiques d’organisation de la sécurité de l’information (par exemple, la mise en œuvre d’un système de management de la sécurité de l’information tel que décrit par l’ISO/IEC 27001) sont des outils pour vous aider à améliorer votre sécurité, mais aussi à maintenir votre conformité. Par expérience, l’investissement réalisé en cours d’année est très nettement perceptible lorsque vient l’heure de l’audit.
