Comme chaque semaine, le CERT-XMCO partage un bulletin publié durant la semaine précédente. Cette fois-ci, nous vous proposons de revenir sur l’évolution du standard PCI DSS et les nouvelles exigences applicables dès 2018.
Description :
La version 3.2 du PCI DSS (norme de sécurité des données pour l’industrie du paiement par carte bancaire) est applicable depuis début 2017. Cependant, certaines exigences étaient jusqu’alors optionnelles ou considérées comme des « Best Practices ».
À partir du 31 janvier 2018, ces dernières deviendront obligatoires (mise en place d’une authentification multi-facteur pour tous les accès d’administration, tests de segmentation semestriels, charte PCI DSS, détection des dysfonctionnements critiques des éléments de sécurité, etc).
Bien que les acteurs du marché concernés par le standard PCI DSS aient eu deux ans pour se mettre en conformité avec cette nouvelle version du standard, le cabinet PCI Pal remarque qu’un pourcentage important d’acteurs ne sont actuellement pas conformes. Ils constatent qu’une majorité aborde la certification PCI DSS comme un examen annuel et non comme une démarche d’amélioration continue de la sécurité.
Un rapport de Verizon datant de 2017 indique que l’acteur moyen n’est conforme qu’à la moitié des exigences. Parmi les acteurs conformes au standard, presque un tiers n’est plus conforme passé 12 mois.
Être conforme au standard PCI est un processus continu. Le standard 3.2 évolue dans ce sens en imposant des revues régulières et en s’assurant que les dispositifs de sécurité et de contrôle sont correctement en place et tenus à jour.
XMCO revient sur l’ensemble de ces exigences au sein d’un article publié sur notre blog dédié au PCI DSS :
https://blog-pci.xmco.fr/les-exigences-applicables-en-2018.html
Références :
Références CERT-XMCO :