PCI DSS

PCI DSS – Les FAX et le standard PCI DSS

by  • 

Les infrastructures de télécopie (Fax Server, Serveurs de fax PCI)

Dans notre sensibilisation à la protection des données cartes, nous avons encore trop souvent des marchands comme des PSP qui sous estiment les impacts des technologies dites anciennes comme la télécopie (le fax). Peux t’on être conforme PCI DSS sur son système d’information et recevoir à coté par télécopie des numéros de cartes en clair ?

Je vais essayer de répondre à la question en m’aidant du site du PCI Council et des mes audits PCI sur le sujet.

Petit rappel sur PCI DSS, n’importe quelles données de titulaire de carte qui sont stockées, traitées ou transmises doivent être protégées selon le standard PCI DSS.

Si des fax sont envoyés ou que l’on reçoit des fax avec du PAN par l’intermédiaire d’un modem via une ligne téléphonique traditionnel (RTC), ceux-ci ne sont pas considérés traversé un réseau public (type Internet). Ils peuvent ne pas être chiffré.

Par contre, si votre fax qui contient du PAN passe par un réseau publique comme Internet, alors vous devrez répondre à l’exigence 4.1 en chiffrant les communications aussi bien sur les serveurs de télécopies que les postes de travail qui les envoient/reçoivent doivent être sécurisés selon la norme PCI DSS. En outre, toutes les données de titulaire de carte sur le fax qui sont stockées par voie électronique doivent se conformer à la norme PCI DSS. L’exigence 3.4 qui à pour objectif de ne plus rendre les données de titulaire de carte lisibles.

Si le système de télécopie est combiné avec un système de messagerie (par exemple, via une passerelle fax-to-email), les e-mails seraient également soumises à l’exigence 4.2. 

En outre, l’exigence 3.2 interdit le stockage des données d’authentification sensibles (piste, vérification de carte codes / valeurs et données de bloc PIN) après autorisation.

Si les données d’authentification sensibles sont reçus sur un fax (pour les transmissions par fax, cela ne serait que les codes de vérification sur 3 ou 4 digit sur les cartes de paiement), les données doivent être anonymisées ou enlevés avant la sortie sous forme de papier, et la transmission de la télécopie d’origine doit être supprimé du système d’une manière qui garantie que les données sont non récupérables (effacement sécurisé avec un outils robuste, pas juste un del *.* dans le répertoire ou un rm -rf *…).

Les entités doivent également protéger les documents papier qui contiennent des données de titulaire de carte conformément aux exigences de la norme PCI 9.5 à 9.8.

 

J’en connais qui vont pleurer 🙂

 

Enjoy your fax machine, now it’s compliant PCI DSS 🙂