PCI DSS en version 4, quels sont les changements apportés au SAQ-P2PE ?

C’est avec la récente sortie du nouveau standard PCI DSS (Payment Card Industry Data Security Standard) dans sa version 4.0 qu’ont été publiées les nouvelles versions des SAQ (Self Assessment Questionnaire) qui l’accompagnent. Les SAQ sont des documents fournis par le PCI DSS permettant à des entités réalisant un faible nombre de transactions (et donc pour lesquelles le risque de fuite massive de données de carte bancaire est plus faible) de s’auto-certifier.

Ceux-ci, comme le référentiel complet, entrent en vigueur dès le 31 mars 2024. Certaines exigences ne sont toutefois qu’à l’état de bonnes pratiques (donc facultatives) jusqu’au 31 mars 2025.

Qu’en est-il de l’un des principaux d’entre eux, le SAQ-P2PE ?

Réservée aux marchands ayant recours à une solution P2PE (Point to point encryption ou chiffrement de bout en bout) validée par le PCI, cette version très allégée du standard (20 exigences dans le SAQ-P2PE contre 252 dans le référentiel complet) se veut simple pour permettre aux entreprises de s’auto-certifier.

Le marchand traite les cartes bancaires de ses clients uniquement par le biais de terminaux de paiement électroniques (TPE) fournis par un prestataire certifié (Ingenico et Verifone étant les principaux en France). Ce dernier fournit un PIM (P2PE Instruction Manual) qui détaille l’utilisation et la configuration à appliquer, que le marchand devra scrupuleusement respecter.

Cette version plus souple du standard s’explique par le risque faible, les données de carte des clients étant chiffrées directement lors de leur saisie et déchiffrées seulement lors de leur arrivée chez le prestataire de paiement. Les seuls risques majeurs portent sur l’altération frauduleuse d’un TPE (skimming) ou sa substitution par un autre TPE, maîtrisé par l’attaquant. Pas de risque nouveau identifié en version 4.0, les exigences sont donc globalement les mêmes.

Pour plus de détails sur la certification P2PE dans sa version actuelle (3.2.1), XMCO a déjà traité le sujet dans un précédent article.

Dans les faits, cela s’avère plus complexe pour les marchands de s’auto-certifier et il est souvent nécessaire de passer par un cabinet de QSA (Qualified Security Assessor – un auditeur certifié par le PCI SSC) en capacité d’auditer mais aussi d’accompagner les clients dans leur stratégie de certification.

Qu’est-ce qui change dans ce nouveau SAQ-P2PE version 4.0 ?

Bonne nouvelle pour les marchands, le nouveau standard SAQ-P2PE v4.0 n’inclut que des reformulations ou clarifications, mais pas de nouveauté majeure.

Quelles sont les difficultés récurrentes rencontrées chez les clients se tournant vers le P2PE ?

Chez XMCO, nous sommes régulièrement amenés à accompagner nos clients sur leurs certifications P2PE, que ce soit des grands volumes dans le domaine du retail comme des boutiques plus petites dans le secteur du luxe. Bien que les contraintes et environnements soient très variés, nous rencontrons souvent des non-conformités communes.

En version actuelle (3.2.1) comme version 4.0, c’est la formation et sensibilisation des collaborateurs (en caisse, en rayon, en entrepôt) aux risques liés à la sécurité des TPE et des données de carte qui pose le plus de problèmes chez nos clients. Les connaissances de base liées à la fraude au TPE ne sont pas toujours maîtrisées. En effet, la majorité des enseignes sont confrontées aux défis suivants :

• former efficacement un très grand nombre de collaborateurs,
• situés dans des régions géographiques variées,
• leurs faire passer un ensemble de formations pour des enjeux très différents (terrorisme, métiers de la caisse etc.),
• gérer un fort turnover.

L’objectif est de rester simple en se focalisant sur les points clés (skimming, contrôles lors de l’intervention d’un technicien sur un TPE, contrôles quotidiens sur la ligne de caisse, etc.). C’est dans les magasins où l’accent est mis sur l’accompagnement des nouveaux arrivants par le responsable de la ligne de caisse que les collaborateurs sont souvent les mieux sensibilisés.

L’autre enjeu majeur consiste en la réalisation d’inventaires réguliers de l’ensemble des TPE pour chaque magasin. Il est impératif de gérer l’état et la position des appareils (en production, au stock, en attente au coffre, etc.), et de les stocker dans des lieux sécurisés avec contrôles d’accès (qui aujourd’hui consistent encore trop souvent en une clé laissée sur la serrure et à la disposition de tous les collaborateurs). C’est souvent dans les petites structures (moins de 20 caisses) que les erreurs de procédures ou d’inventaires sont les plus fréquentes, notamment du fait d’une plus faible séniorité des responsables.

Pas de nouveautés majeures pour cette nouvelle mouture du SAQ-P2PE en version 4.0 donc, mais les défis à relever pour les enseignes devant se certifier sont toujours bien présents, et les menaces également.