PCI DSS – Chapitre 3 Différences entre la version 2.0 et 3.0

Sécurisé le stockage des données cartes.

pci2Le chapitre 3 du standard de sécurité PCI DSS contient l’ensemble des exigences sur la sécurisation du stockage des données cartes. Dans la nouvelle version du standard, je vous propose de passer en revue les changements entre la 2.0 et la 3.0 sur ce point précis.

Le tableau ci-dessous nous montre encore un éclairage important sur les principales exigences. Le chapitre 3 est clarifié une fois de plus pour éviter les interprétations individuelles.

Exigences PCI DSS 2.0Exigences PCI DSS 3.0Type de modificationDescription de la modification
3.1
3.1.1
3.1ClarificationL'exigence 3.1.1 est associée aux procédures de test dans l'exigence 3.1 à fin de clarté et pour réduire la redondance.
3.23.2ClarificationÉclairage sur le fait que, si les données d'identification sensibles sont reçues, elles sont rendues irrécupérables une fois le processus d'autorisation terminé. Clarification de procédures de tests pour les sociétés qui prennent en charge les services d'émissions et stockent des données d'identifications sensibles.
3.33.3ClarificationÉclairage sur l'exigence qui conditionne le masquage du PAN en consolidant une note précédente dans le corps de la condition et par l'amélioration des procédures de test.
3.4.13.4.1ClarificationLes accès logiques pour le chiffrement de disque doivent être gérés séparément et indépendamment de l'authentification du système d'exploitation natif et des mécanismes de contrôle d'accès; que les clés de déchiffrements ne doivent pas être associées aux comptes utilisateurs.
3.53.5ClarificationLes procédures de gestion essentielles doivent être mise en œuvre et documentées.
3.5.23.5.2
3.5.3
ClarificationL'exigence 3.5.2 est divisée en deux exigences pour se concentrer de manière séparée sur le stockage des clés cryptographiques sous une forme sécurisée (3.5.2) et dans le moins d'emplacements possibles (3.5.3). L'exigence 3.5.2 donne également une meilleur flexibilité avec des options plus nombreuses pour le stockage sécurisé des clés de chiffrements.
3.6.x3.6.xClarificationAjout de procédures de test pour vérifier la mise en œuvre de procédures de gestion de clés de chiffrements.
3.6.63.6.6ClarificationPrincipes de fractionnement des connaissances et de double contrôle.

Enjoy 🙂