Introduction
La mise en conformité PCI DSS reste un projet très souvent complexe à mettre en œuvre.
Budget, ressources, accompagnement et compréhension du standard sont souvent des freins pour entamer cette démarche. Cependant, depuis plusieurs années, le standard continue de se développer.
Chez XMCO, nous recevons toujours plus de demandes pour des analyses d’écart et des certifications, nos prospects ou clients sentent la pression de leurs banques (via les marques de cartes) et de leurs clients / partenaires qui, eux aussi, pousse le standard au travers des appels d’offres et des contrats.
La mise en conformité pour un marchand qui démarre ou qui adresse un canal web n’est pas insurmontable. En effet, les exigences du standard demeurent des bonnes pratiques et l’agilité des nouveaux environnements numériques permettent de vite évoluer ou restructurer pour atteindre les objectifs du standard (certes, il faut aussi un peu de process, de la documentation et de l’huile de coude…).
Cependant, la mise en conformité pour des marchands « traditionnels” qui manipulent des cartes bancaires physiques via des points de vente, des terminaux et automates de paiement reste extrêmement complexe et coûteuse.
Afin d’adresser ces difficultés, le PCI SSC, organisme qui développe les standards du PCI a développé, en partenariat avec les constructeurs et les prestataires de paiement, une solution appelée P2PE, permettant de faciliter cette mise en conformité pour de tels acteurs.
Petites explications…
Présentation du P2PE
Le P2PE est l’acronyme de Point 2 Point Encryption et est utilisé pour décrire une solution technique proposée par les prestataires de paiement afin de chiffrer de bout en bout une transaction (du terminal jusqu’à l’infrastructure technique du prestataire).
Cette solution se compose donc (de manière simplifiée) :
- D’un code (application) à installer sur les terminaux de paiement appelé POI pour Point Of Interaction (qui sera utilisé pour chiffrer les données de cartes)
- D’une infrastructure côté prestataire de paiement permettant de stocker et déchiffrer les données de carte
- De procédures permettant les injections et changements de clefs de chiffrement
Les avantages du P2PE
Comme évoqué plus haut, le P2PE apporte trois principaux avantages :
- Un gain pour la sécurité des transactions : le chiffrement mis en place permet de se prémunir contre l’interception et la manipulation des données entre le terminal et le prestataire de paiement
- Une mise en conformité simplifiée : aucun changement sur le SI n’aura lieu
- Un coût d’audit réduit pour être certifié PCI DSS : la mise en place d’une solution P2PE réduit les exigences applicables (on passe de plus de 300 pour le standard PCI DSS complet à 25 exigences lorsqu’on implémente une solution P2PE)
Les sociétés éligibles
Le P2PE a été créé seulement pour les sociétés qui manipulent des cartes bancaires physiques (card-present) via des terminaux.
Par conséquent, si vos transactions se reposent sur ce type de paiement, alors vous avez tout intérêt à étudier de près ces solutions.
De l’enseigne du prêt-à-porter, en passant par les stations-service, les hypermarchés, les sociétés de péages, parcmètres, etc.
Quelques exemples d’acteurs particulièrement concernés par les problématiques de conformités PCI DSS avec des terminaux physiques… (nous ne savons pas si ces sociétés utilisent réellement des solutions P2PE).
Les étapes d’une mise en conformité
Afin de se lancer dans un projet de mise en conformité, quelques pré-requis doivent être en place.
Dans un premier temps, nous vous invitons à contacter votre prestataire de paiement actuel afin d’obtenir des informations sur leur capacité à proposer une solution P2PE. La plupart des acteurs proposent des solutions de ce type mais ce n’est pas le cas pour tous. Vous pouvez d’ailleurs vérifier la liste des éditeurs et de leur solution directement sur le site du PCI SSC.
Liste des solutions certifiées P2PE disponible sur le site du PCI SSC
Dans un deuxième temps, vous devez vérifier que vos terminaux sont éligibles à la solution proposée par votre prestataire de paiement. Pour cela, le site du PCI SSC permet de consulter la liste des terminaux et des versions qui sont approuvés P2PE.
Troisième étape, il vous reste à contacter un commercial, car oui la mise en place et l’utilisation d’une solution P2PE a un coût. En effet, les éditeurs répercutent le coût de l’investissement sur leurs clients, rendant cette solution plus onéreuse que le paiement de proximité classique. Ça y est vous êtes prêts, maintenant il faut se mettre en conformité….
Le PIM
Avant de parler des exigences propres au standard PCI DSS et qui concernent les implémentations P2PE, parlons d’un document qui devra être lu et utilisé lors de l’implémentation de la solution P2PE.
Le PIM pour P2PE Instruction Manual est un document fourni par l’éditeur de la solution P2PE et qui précise un certain nombre de points à respecter pour pouvoir ensuite passer à la certification.
C’est donc une base qui abordera un grand nombre de points relatifs à :
- Les informations sur la solution et les terminaux associés
- L’installation des terminaux
- Le transit des terminaux en cas de panne
- Les conseils pour l’inspection des terminaux pour éviter le skimming ou l’altération
- Les conseils en cas de panne ou problème de chiffrement
Et maintenant quelles exigences du standard PCI DSS dois-je respecter ?
Une fois que la solution P2PE est prête à être mise en place, il va falloir commencer la mise en conformité en tant que telle. En effet, même si le P2PE simplifie considérablement la certification et que le PIM impose certains points à respecter, il reste un certain nombre d’exigences à traiter…
Ce sont près de 25 exigences qui sont imposées par le questionnaire d’auto-évaluation SAQ P2PE disponible en anglais uniquement à l’adresse suivante :
https://www.pcisecuritystandards.org/documents/PCI-DSS-v3_2_1-SAQ-P2PE-1_1.pdf?agreement=true
- 3.1 – Procédure / Politique de stockage et de rétention des données
- 3.2.2 – Pour les stockages sous forme papier, le CVV ne doit pas être conservé après autorisation
- 3.7 – Politique de sécurité pour la protection des données stockées
- 9.5 – Les médias sont-ils physiquement sécurisés ?
- 9.8 – Procédé pour détruire les données lorsqu’elles ne sont plus utilisées
- 9.8.1 – Procédure de destruction du papier
- 9.9 – Protection physique des terminaux
- 9.9.1 – Inventaire des terminaux et mise à jour
- 9.9.2 – Inspection régulière
- 9.9.3 – Formation sur les comportements suspects et le tampering (vérification identité, alerte en cas d’incidents, formation régulière)
- 9.10 – Procédure et politique pour les accès physiques
- 12.1 – PSSI (Politique de sécurité interne)
- 12.1.1 – Revue annuelle de la PSSI
- 12.4/12.5 – Définition des responsabilités
- 12.6 – Programme de formation / sensibilisation
- 12.8 – Gestion et suivi des prestataires
- 12.10.1 – Plan de réponse à incident
Concrètement afin de répondre à ces exigences, vous devrez aborder les thématiques suivantes :
- Formation / Sensibilisation à tous les niveaux (même les agents ou hôtes d’accueil qui utilisent les terminaux) au travers de supports, mémo, présentations, etc.
- Inventaire des terminaux : être en capacité à suivre en temps réel le stock et les mouvements des terminaux via un logiciel très souvent fourni par l’éditeur de la solution.
- Gestion des prestataires : Imposer des règles strictes aux prestataires qui interviennent lors de la maintenance des terminaux (contrôle d’identité, PV de recette, mise à jour de l’inventaire, renvoi des terminaux défectueux)
- Documentation : Politique de sécurité, plan de réponse aux incidents, guide de formation, guide d’inspection
- Procédure d’inspection mensuelle voir journalière des TPE pour sécuriser la partie physique des terminaux souvent exposés.
Un conseil, malgré le peu d’exigences, il ne faut surtout pas sous-estimer les efforts pour former, implémenter ces nouvelles procédures et maintenir le tout dans le temps…
Des inconvénients ?
Un inconvénient doit tout de même être évoqué. En effet, en utilisant une solution P2PE, vous serez étroitement lié à votre prestataire de paiement. En effet, le chiffrement total des communications et des données ainsi que l’utilisation de TPE spécifiques rendront une migration vers un concurrent ou l’utilisation d’un tiers impossible sans modifier l’ensemble des composants de l’infrastructure.
Qui peut certifier ?
En réalisant moins de 6 millions de transactions par an, votre banque pourra vous considérer comme un marchand de niveau 2, 3 ou 4 ce qui permet l’auto-évaluation. En d’autres mots, il vous suffira de respecter le PIM, les exigences et de remplir un SAQ (Self-Assessment Questionnaire).
Mais de notre expérience, nous constatons que ce sont souvent les enseignes réalisant un très grand nombre de transactions (plusieurs dizaines de millions) qui optent pour ces solutions P2PE. Par conséquent, dans ce cas, seule une société QSA comme XMCO peut vous certifier.
XMCO certifie plusieurs sociétés qui utilisent ces solutions. Nous vous invitons à nous contacter pour obtenir des informations sur les phases d’accompagnement et de certification.