PCI DSS – Différences entre la version 3.0 et la 3.1

pciLe PCI Council vient de sortir une mise à jour du standard PCI DSS 3.0 vers la 3.1. Nous découvrons pas mal de clarifications sur l’ensemble des exigences ainsi que les recommandations et directives.

Je vous propose à travers ce billet de balayer ces mises à jours du standard PCI DSS. SSL et TLS ne sont plus considérés comme des composants de niveau de sécurité à partir du 30 juin 2016…La tokenisation arrive à grand pas 🙂

Pas mal d’éclairage et aussi une tendance forte que les prochaines versions de PCI DSS seront plus liés à la sécurité SSI que la conformité. En un mot on va dans le bon sens.

 

La source du document de référence:

 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1_Summary_of_Changes.pdf

Les types de changements

Type de changementDescription
ClarificationClarification de l'attendu de l'exigence. Assure que le libellé raccourci du standard décrit correctement l'intention de l'exigence.
Directive supplémentaireExplication, définition et/ou instruction pour permettre la compréhension ou d'obtenir plus de renseignements sur un sujet précis.
Exigence en évolution
(Evolving Requirement)
Changement pour s'assurer que le standard est à jour sur les menaces et les changements sur le marché

Les différences

Version du Standard
 
Changement
Type
PCI DSS v3.0
PCI DSS v3.1
TousTousCorrections mineurs sur la typographie et quelques mises à jour mineurs pour permettre une meilleur compréhension du document
Clarification
IntroductionIntroductionChangement de la référence de protection du titulaire de la donnée à Protection des données du compte
Clarification
IntroductionIntroductionPrécise que la norme PCI DSS s'applique à toute l'entité qui stocke, traite et transmet les données du compte (PAN).
Clarification
IntroductionIntroductionChangement de la référence "identification d'Information personnelle" par "Information personnelle".
Clarification
PCI DSS information applicablePCI DSS information applicableChangement dans le référentiel "d'institutions financières" par "Acquéreurs, émetteur".
Clarification
PCI DSS Information ApplicablePCI DSS Information ApplicableSuppression de la référence "Environnement" pour permettre l'éclairage au niveau de l'organisation plutôt que sur les aspects systèmes.
Clarification
Champ d'application du standard PCI DSSChamp d'application du standard PCI DSSAlignement sur le wording (langage) utilisé en amont dans la même section. Cela concerne les précisions autours du CDE.
Clarification
Recours à des fournisseurs de services tiers / OutsourcingRecours à des fournisseurs de services tiers / OutsourcingClarifications sur les processus de validations des fournisseurs pour permettre leur évaluation annuelle ou à la demande.
Clarification
Évaluation des processus PCI DSSÉvaluation des processus PCI DSSRéorganisation et clarification des étapes d'évaluation d'un ROC, SAQ ou de l'AOC avec l'ensemble des exigences mis en oeuvre et étant en place au sens PCI DSS.
Clarification
GeneralGeneralMise à jour des exigences, des procédures et des tests de cohérence au niveau langage.
Clarification
2.2.32.2.3SSL n'est plus une technologie de sécurité. Ajout dans l'exigence que SSL et TLS ne sont plus considérés comme un composant fort en matière de chiffrement et qu'ils ne peuvent plus être utilisés comme un contrôle de sécurité après le 30 Juin 2016 Des oriantations supplémentaires sont fournies dans la colonne Guidance sur les exigences 2.3 et 4.1.
Evolving Requirement
2.32.3Retrait de SSL comme composant d'exemple de sécurité. Ajout d'une note voir l'exigence 2.2.3 au dessus.
Evolving Requirement
3.2.1 - 3.2.33.2.1 - 3.2.3Clarification des exigences sur le stockage des données d'identification sensible ne soit pas autorisé après autorisation.
Clarification
3.43.4Clarification de l'exigence qui apporte des notes supplémentaires sur les contrôles nécéssaires lors du hash et du troncage du même PAN dans un environnement. Ajouté dans la procédure 3.4.e pour permettre la validation de celle-ci. Clarification de l'intention de troncature dans la colonne orientation.
Clarification
3.5.23.5.2Clarification que le composant HSM peut se référer à un matériel ou un module de sécurité HOST comme indiqué dans le standard PCI PTS.
Clarification
3.63.6Précisé que l'exigence 3.6 s'applique uniquement si l'entité en cours d'évaluation est un fournisseur de service (PSP).
Clarification
4.14.1Retiré le fait que SSL est un exemple de sécurité technologique et ajoutée une note dans l'exigence. Voir l'exigence 2.2.3 pour de plus amples informations.
Evolving Requirement
4.1.14.1.1Mise à jour de la procédure de tests pour connaitre l'ensemble des versions de SSL avec leurs niveaux de chiffrement (Faiblesse).
Evolving Requirement
4.24.2Inclusion que le SMS est un exemple de message d'un utilisateur final avec un moyen technologique et ajout d'une directive supplémentaire.
Clarification
Directive supplémentaire
6.66.6Ajouts des précisions à la procédure de test et aussi dans la colonne d'orientation que si un système automatisé est configuré pour alerter les attaques basé sur le web qu'ils peuvent assurer une réponse en temps opportun.
Clarification
8.1.48.1.4Précise que les comptes d'utilisateurs inactifs doivent être supprimés / désactivés dans un délai maximum de 90 jours.
Clarification
8.1.6.b
8.2.1.d
8.2.1.e
8.2.3.b
8.2.4.b
8.2.5.b
8.1.6.b
8.2.1.d
8.2.1.e
8.2.3.b
8.2.4.b
8.2.5.b
Précise que la procédure de test s'applique bien au provider (PSP) en cours d'évaluation et non aux commerçants.
Clarification
8.2.48.2.4Précision sur le fait que les mots de passe doivent être modifiés au moins une fois tous les 90 jours.
Clarification
8.5.18.5.1Cette exigence ne s'applique qu'à un Service Provider (PSP).
Clarification
9.29.2Clarification que l’exigence s'applique à l'ensemble du personnel et des visiteurs. Mutualisation avec les procédures de tests des exigences 9.2b et 9.2.d pour éliminer la redondance.
Clarification
9.9.1.b9.9.1.bMises à jour des procédures de test sur les locaux ainsi que les équipements (Infrastructure, Device...) à observer
Clarification
10.610.6Retrait de phrases redondantes dans la colonne directive.
Clarification
10.6.110.6.1Mise à jour de l'exigence pour mieux appréhender la différence avec l'exigence 10.6.2
Clarification
11.1.c11.1.cClarifie/précise la procédure de test sur les scans des réseaux wifi qui sont utilisés.
Clarification
11.211.2Clarifie dans la colonne directives qu'une analyse de vulnérabilité pourrait être une combinaison d'outils automatisés, manuels et techniques ou provenir d'autres méthodes.
Directive supplémentaire
11.3.2.a11.3.2.aRetrait de phrases redondantes sur les procédures de tests.
Clarification
11.3.411.3.4Clarifie et précise que le test d'intrusion doit avoir une description de son intention sur le composant système et sur l'ensemble des réseaux segmentés ainsi que l'ensemble des tests soient prévus dans le CDE.
Clarification
11.511.5Clarification sur les modifications non autorisées qui incluent les changements, les ajouts et les suppressions de fichier système critique, etc...
Clarification
12.212.2Le processus d'évaluation des risques doit se traduire dans un cadre formel avec une analyse documenté du risque.
Clarification
12.912.9Précision que cette exigence ne s'applique qu'au Provider de paiement (PSP) et ajout dans les directives.
Clarification
Directive supplémentaire
Appendix C: Mesures compensatoires (Compensating Control Worksheet - Completed Example)Appendix C: Mesures compensatoires (Compensating Control Worksheet - Completed Example)Description et mise à jour du contrôle compensatoire. L'exemple d'utilisation d'un compte SUDO plutôt que SU (Env. Unix/Linux Like).
Directive supplémentaire

Enjoy PCI 🙂