Sécurisé le stockage des données cartes.
Le chapitre 3 du standard de sécurité PCI DSS contient l’ensemble des exigences sur la sécurisation du stockage des données cartes. Dans la nouvelle version du standard, je vous propose de passer en revue les changements entre la 2.0 et la 3.0 sur ce point précis.
Le tableau ci-dessous nous montre encore un éclairage important sur les principales exigences. Le chapitre 3 est clarifié une fois de plus pour éviter les interprétations individuelles.
| Exigences PCI DSS 2.0 | Exigences PCI DSS 3.0 | Type de modification | Description de la modification |
|---|---|---|---|
| 3.1 3.1.1 | 3.1 | Clarification | L'exigence 3.1.1 est associée aux procédures de test dans l'exigence 3.1 à fin de clarté et pour réduire la redondance. |
| 3.2 | 3.2 | Clarification | Éclairage sur le fait que, si les données d'identification sensibles sont reçues, elles sont rendues irrécupérables une fois le processus d'autorisation terminé. Clarification de procédures de tests pour les sociétés qui prennent en charge les services d'émissions et stockent des données d'identifications sensibles. |
| 3.3 | 3.3 | Clarification | Éclairage sur l'exigence qui conditionne le masquage du PAN en consolidant une note précédente dans le corps de la condition et par l'amélioration des procédures de test. |
| 3.4.1 | 3.4.1 | Clarification | Les accès logiques pour le chiffrement de disque doivent être gérés séparément et indépendamment de l'authentification du système d'exploitation natif et des mécanismes de contrôle d'accès; que les clés de déchiffrements ne doivent pas être associées aux comptes utilisateurs. |
| 3.5 | 3.5 | Clarification | Les procédures de gestion essentielles doivent être mise en œuvre et documentées. |
| 3.5.2 | 3.5.2 3.5.3 | Clarification | L'exigence 3.5.2 est divisée en deux exigences pour se concentrer de manière séparée sur le stockage des clés cryptographiques sous une forme sécurisée (3.5.2) et dans le moins d'emplacements possibles (3.5.3). L'exigence 3.5.2 donne également une meilleur flexibilité avec des options plus nombreuses pour le stockage sécurisé des clés de chiffrements. |
| 3.6.x | 3.6.x | Clarification | Ajout de procédures de test pour vérifier la mise en œuvre de procédures de gestion de clés de chiffrements. |
| 3.6.6 | 3.6.6 | Clarification | Principes de fractionnement des connaissances et de double contrôle. |
Enjoy 🙂
