Le PCI Council vient de sortir une mise à jour du standard PCI DSS 3.0 vers la 3.1. Nous découvrons pas mal de clarifications sur l’ensemble des exigences ainsi que les recommandations et directives.
Je vous propose à travers ce billet de balayer ces mises à jours du standard PCI DSS. SSL et TLS ne sont plus considérés comme des composants de niveau de sécurité à partir du 30 juin 2016…La tokenisation arrive à grand pas 🙂
Pas mal d’éclairage et aussi une tendance forte que les prochaines versions de PCI DSS seront plus liés à la sécurité SSI que la conformité. En un mot on va dans le bon sens.
La source du document de référence:
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1_Summary_of_Changes.pdf
Les types de changements
| Type de changement | Description |
|---|---|
| Clarification | Clarification de l'attendu de l'exigence. Assure que le libellé raccourci du standard décrit correctement l'intention de l'exigence. |
| Directive supplémentaire | Explication, définition et/ou instruction pour permettre la compréhension ou d'obtenir plus de renseignements sur un sujet précis. |
| Exigence en évolution (Evolving Requirement) | Changement pour s'assurer que le standard est à jour sur les menaces et les changements sur le marché |
Les différences
| Tous | Tous | Corrections mineurs sur la typographie et quelques mises à jour mineurs pour permettre une meilleur compréhension du document | |
| Introduction | Introduction | Changement de la référence de protection du titulaire de la donnée à Protection des données du compte | |
| Introduction | Introduction | Précise que la norme PCI DSS s'applique à toute l'entité qui stocke, traite et transmet les données du compte (PAN). | |
| Introduction | Introduction | Changement de la référence "identification d'Information personnelle" par "Information personnelle". | |
| PCI DSS information applicable | PCI DSS information applicable | Changement dans le référentiel "d'institutions financières" par "Acquéreurs, émetteur". | |
| PCI DSS Information Applicable | PCI DSS Information Applicable | Suppression de la référence "Environnement" pour permettre l'éclairage au niveau de l'organisation plutôt que sur les aspects systèmes. | |
| Champ d'application du standard PCI DSS | Champ d'application du standard PCI DSS | Alignement sur le wording (langage) utilisé en amont dans la même section. Cela concerne les précisions autours du CDE. | |
| Recours à des fournisseurs de services tiers / Outsourcing | Recours à des fournisseurs de services tiers / Outsourcing | Clarifications sur les processus de validations des fournisseurs pour permettre leur évaluation annuelle ou à la demande. | |
| Évaluation des processus PCI DSS | Évaluation des processus PCI DSS | Réorganisation et clarification des étapes d'évaluation d'un ROC, SAQ ou de l'AOC avec l'ensemble des exigences mis en oeuvre et étant en place au sens PCI DSS. | |
| General | General | Mise à jour des exigences, des procédures et des tests de cohérence au niveau langage. | |
| 2.2.3 | 2.2.3 | SSL n'est plus une technologie de sécurité. Ajout dans l'exigence que SSL et TLS ne sont plus considérés comme un composant fort en matière de chiffrement et qu'ils ne peuvent plus être utilisés comme un contrôle de sécurité après le 30 Juin 2016 Des oriantations supplémentaires sont fournies dans la colonne Guidance sur les exigences 2.3 et 4.1. | |
| 2.3 | 2.3 | Retrait de SSL comme composant d'exemple de sécurité. Ajout d'une note voir l'exigence 2.2.3 au dessus. | |
| 3.2.1 - 3.2.3 | 3.2.1 - 3.2.3 | Clarification des exigences sur le stockage des données d'identification sensible ne soit pas autorisé après autorisation. | |
| 3.4 | 3.4 | Clarification de l'exigence qui apporte des notes supplémentaires sur les contrôles nécéssaires lors du hash et du troncage du même PAN dans un environnement. Ajouté dans la procédure 3.4.e pour permettre la validation de celle-ci. Clarification de l'intention de troncature dans la colonne orientation. | |
| 3.5.2 | 3.5.2 | Clarification que le composant HSM peut se référer à un matériel ou un module de sécurité HOST comme indiqué dans le standard PCI PTS. | |
| 3.6 | 3.6 | Précisé que l'exigence 3.6 s'applique uniquement si l'entité en cours d'évaluation est un fournisseur de service (PSP). | |
| 4.1 | 4.1 | Retiré le fait que SSL est un exemple de sécurité technologique et ajoutée une note dans l'exigence. Voir l'exigence 2.2.3 pour de plus amples informations. | |
| 4.1.1 | 4.1.1 | Mise à jour de la procédure de tests pour connaitre l'ensemble des versions de SSL avec leurs niveaux de chiffrement (Faiblesse). | |
| 4.2 | 4.2 | Inclusion que le SMS est un exemple de message d'un utilisateur final avec un moyen technologique et ajout d'une directive supplémentaire. | Directive supplémentaire |
| 6.6 | 6.6 | Ajouts des précisions à la procédure de test et aussi dans la colonne d'orientation que si un système automatisé est configuré pour alerter les attaques basé sur le web qu'ils peuvent assurer une réponse en temps opportun. | |
| 8.1.4 | 8.1.4 | Précise que les comptes d'utilisateurs inactifs doivent être supprimés / désactivés dans un délai maximum de 90 jours. | |
| 8.1.6.b 8.2.1.d 8.2.1.e 8.2.3.b 8.2.4.b 8.2.5.b | 8.1.6.b 8.2.1.d 8.2.1.e 8.2.3.b 8.2.4.b 8.2.5.b | Précise que la procédure de test s'applique bien au provider (PSP) en cours d'évaluation et non aux commerçants. | |
| 8.2.4 | 8.2.4 | Précision sur le fait que les mots de passe doivent être modifiés au moins une fois tous les 90 jours. | |
| 8.5.1 | 8.5.1 | Cette exigence ne s'applique qu'à un Service Provider (PSP). | |
| 9.2 | 9.2 | Clarification que l’exigence s'applique à l'ensemble du personnel et des visiteurs. Mutualisation avec les procédures de tests des exigences 9.2b et 9.2.d pour éliminer la redondance. | |
| 9.9.1.b | 9.9.1.b | Mises à jour des procédures de test sur les locaux ainsi que les équipements (Infrastructure, Device...) à observer | |
| 10.6 | 10.6 | Retrait de phrases redondantes dans la colonne directive. | |
| 10.6.1 | 10.6.1 | Mise à jour de l'exigence pour mieux appréhender la différence avec l'exigence 10.6.2 | |
| 11.1.c | 11.1.c | Clarifie/précise la procédure de test sur les scans des réseaux wifi qui sont utilisés. | |
| 11.2 | 11.2 | Clarifie dans la colonne directives qu'une analyse de vulnérabilité pourrait être une combinaison d'outils automatisés, manuels et techniques ou provenir d'autres méthodes. | |
| 11.3.2.a | 11.3.2.a | Retrait de phrases redondantes sur les procédures de tests. | |
| 11.3.4 | 11.3.4 | Clarifie et précise que le test d'intrusion doit avoir une description de son intention sur le composant système et sur l'ensemble des réseaux segmentés ainsi que l'ensemble des tests soient prévus dans le CDE. | |
| 11.5 | 11.5 | Clarification sur les modifications non autorisées qui incluent les changements, les ajouts et les suppressions de fichier système critique, etc... | |
| 12.2 | 12.2 | Le processus d'évaluation des risques doit se traduire dans un cadre formel avec une analyse documenté du risque. | |
| 12.9 | 12.9 | Précision que cette exigence ne s'applique qu'au Provider de paiement (PSP) et ajout dans les directives. | Directive supplémentaire |
| Appendix C: Mesures compensatoires (Compensating Control Worksheet - Completed Example) | Appendix C: Mesures compensatoires (Compensating Control Worksheet - Completed Example) | Description et mise à jour du contrôle compensatoire. L'exemple d'utilisation d'un compte SUDO plutôt que SU (Env. Unix/Linux Like). |
Enjoy PCI 🙂
