PCI DSS – Chapitre 12 – Différences entre la version 2.0 et 3.0

Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnel

pci2Voila enfin le dernier article sur les différences entre la version 2.0 et 3.0 du standard PCI DSS. La gestion d’une politique de sécurité des informations. Une politique de sécurité robuste définit la sécurité mise en oeuvre à l’échelle de l’entreprise et indique aux employés ce que l’on attend d’eux. Tout le personnel doit être sensibilisé au caractère confidentiel des données et à ses responsabilités dans la protection de ces informations. Dans le cadre de ce chapitre 12, le terme « personnel » désigne les employés à temps plein et à temps partiel, les intérimaires ainsi que les sous-traitants et les consultants qui « résident » sur le site de l’entité ou ont accès d’une manière ou d’une autre à l’environnement des données du titulaire.

Exigence PCI DSS 2.0Exigence PCI DSS 3.0Type de modificationDescription de la modification
12.1.1
12.2.2
1.5, 2.5, 3.7, 4.3, 5.4, 6.7, 7.3, 8.8, 9.10, 10.8, 11.6ClarificationCombinaison des anciennes exigences à 12.1.1 (pour que la politique de sécurité de l’information adresse toutes les exigences du PCI DSS) et 12.2 (pour les procédures de sécurité opérationnelle), qui sont déplacées dans les Conditions 1 à 11, en tant qu’exigence dans chaque condition.
12.1.312.1.1ClarificationLes anciennes conditions 12.1.3 à 12.1.1 sont déplacées.
12.1.212.2.Evolution de l'exigenceL’ancienne condition 12.1.2 de processus annuel d’évaluation des risques est déplacée vers 12.2 et il est clarifié que l’évaluation de risque doit être accomplie au moins une fois par an et après des changements significatifs de l’environnement.
12.3.412.3.4ClarificationClarification du fait que « l’étiquetage » est un exemple de méthode pouvant être utilisée.
12.3.812.3.8ClarificationNouvelle procédure de test pour vérifier que la politique de déconnexion des sessions d’accès à distance après une période d’inactivité spécifique est mise en œuvre.
12.3.1012.3.10ClarificationAlignement de la terminologie entre la condition et les procédures de test pour clarifier le fait que, en cas de besoin commercial autorisé pour que le personnel accède aux données du titulaire à l’aide d’une technologie d’accès à distance, les données doivent être protégées, conformément à toutes les conditions applicables de la norme PCI DSS.
12.812.8ClarificationClarification de l’objectif de mise en œuvre et de maintenance de politiques et de procédures de gestion des prestataires de services avec lesquelles les données du titulaire sont partagées, ou qui pourraient affecter la sécurité des données du titulaire comme suit :
12.8.212.8.2ClarificationClarification des responsabilités applicables pour l’accord écrit/reconnaissance du prestataire de service.
12.8.5Evolution de l'exigenceNouvelle exigence de maintien des informations concernant les conditions de la norme PCI DSS qui sont gérées par chaque prestataire de services et celles qui sont gérées par l’organisation.
12.9Evolution de l'exigenceNouvelle condition pour que les prestataires de services fournissent l’accord/reconnaissance écrit à leur client conformément à l'exigence spécifique 12.8. Entrée en vigueur au 1er juillet 2015
12.9.x12.10.xClarificationNouvelle numérotation et mise à jour de l’exigence 12.10.5 pour clarifier le fait que son objectif est que les alertes des systèmes de surveillance de sécurité soient incluses dans le plan de réponse aux incidents.

En espérant que l’ensemble de ces articles puisse vous apportez l’éclairage suffisant pour basculer dans la version 3.0 du standard PCI DSS en souplesse.

Enjoy and May the Force be with you young padawan