PCI DSS – Les différences entre le standard 2.0 et 3.0

Les principaux changements entre la version 2.0 et 3.0 de PCI DSS

pciLe PCI Council nous demande la conformité PCI DSS en version 3.0 à partir du 1er Janvier 2015. Ce nouveau standard remplace l’ancien depuis la sortie de la version 3.0 en Novembre 2013. Quelques nouveautés et pas mal de clarification sur les exigences.

Nous avons 64 clarifications sur le standard PCI DSS, 18 évolutions de l’exigence et 1 directive supplémentaire. Je vois certains se dire, je passe en urgence ma certification en 2.0 en espérant avoir fini avant la fin de l’année. C’est une mauvaise idée à mon sens car il suffit que les remédiations prennent plus de temps que prévu et le F.R.O.C. (Final Rapport Of Compliance) ne sera plus valable auprès du SSC Council.

Les principaux types de changements

Le standard 3.0 apporte trois types de modifications majeures.

La clarification : Éclairage de l’objectif de l’exigence. Permet de garantir une rédaction concise du standard en répondant à l’objectif souhaité par l’exigence PCI DSS.

Les directives supplémentaires : Explications, Définitions, instructions pour permettre une meilleure compréhension de l’exigence souhaité. Idéal en cas d’interprétation sur une exigence.

Évolution de la condition : Mise à jour du standard qui prennent comptes des nouvelles menaces et technologie du marché.

Pour rappel:

  • Chapitre 1: 6 clarifications, 1 évolution de l’exigence (1.1.2)
  • Chapitre 2: 4 clarifications, 1 évolution de l’exigence (2.4)
  • Chapitre 3: 8 clarifications
  • Chapitre 4: 1 clarification
  • Chapitre 5: 2 clarifications, 2 évolution de l’exigence (5.1.2 et 5.3)
  • Chapitre 6: 9 clarifications, 1 évolution de l’exigence (6.5.10)
  • Chapitre 7: 5 clarifications
  • Chapitre 8: 7 clarifications, 3 évolutions de l’exigence (8.2.3, 8.5.1, 8.6)
  • Chapitre 9: 4 clarifications, 2 évolutions de l’exigence (9.3 et 9.9.x)
  • Chapitre 10: 3 clarifications, 2 évolutions de l’exigence (10.2.5 et 10.2.6)
  • Chapitre 11: 1 directive supplémentaire (11.2), 7 clarifications et 4 évolutions de l’exigence (11.1.x, 11.3, 11.3.4 et 11.5.1)
  • Chapitre 12: 8 clarifications, 3 évolutions de l’exigence (12.1.2, 12.8.5 et 12.9)

 

Je rentrerai dans le détails sur les prochains billets de mon blog par chapitre. Je donnerai le détail par exigence.

Enjoy 🙂