Atteindre et maintenir les exigences de conformité PCI

Publié: 2022-06-30

Si votre entreprise Magento 1 gère les informations de carte de crédit, vous connaissez peut-être déjà les plus de 300 exigences de sécurité de la norme PCI DSS. Si vous n'êtes pas familier, cet article couvrira certaines des bases et offrira des ressources pour certifier la conformité.

Fondée en 2006 par American Express, Discover, JCB International, Mastercard et Visa, la norme PCI DSS (Payment Card Industry Data Security Standards) définit la norme minimale de sécurité des données pour le traitement des transactions par carte de crédit. Il aide à réduire la fraude et les violations de données dans l'écosystème de paiement et s'applique à toute organisation qui accepte ou traite les paiements par carte de crédit.

Conformité PCI DSS

La conformité PCI DSS implique trois règles principales :

  1. Les données sensibles des cartes de crédit des consommateurs doivent être collectées et transmises en toute sécurité
  2. Ces données doivent être stockées en toute sécurité en utilisant le cryptage, la surveillance continue et les tests de sécurité de l'accès aux données de la carte
  3. Sur une base annuelle, valider que les contrôles de sécurité requis sont en place

Données sensibles des consommateurs

Les entreprises qui gèrent les données des cartes peuvent être tenues de respecter chacun des plus de 300 contrôles de sécurité de la norme PCI DSS. Même si les données de carte ne transitent que pendant un moment par l'infrastructure d'une entreprise, l'entreprise devrait acheter, mettre en œuvre et maintenir des logiciels et du matériel de sécurité.

Si une entreprise n'a pas besoin de gérer les données sensibles des cartes de crédit, elle ne devrait pas le faire. Les solutions tierces (telles que Stripe) acceptent et stockent en toute sécurité les données des cartes de crédit, ce qui élimine une complexité, des coûts et des risques considérables. Si les données de carte ne touchent jamais les serveurs de votre entreprise, vous n'aurez qu'à confirmer 22 contrôles de sécurité relativement simples, comme l'utilisation de mots de passe forts.

Stockez les données en toute sécurité

Si une organisation traite ou stocke des données de carte de crédit, elle doit définir la portée de son environnement de données de titulaire de carte (CDE). PCI DSS définit CDE comme les personnes, les processus et les technologies qui stockent, traitent ou transmettent les données de carte de crédit ou tout système qui y est connecté.

Étant donné que les plus de 300 exigences de sécurité de la norme PCI DSS s'appliquent au CDE, il est important de bien segmenter l'environnement de paiement du reste de l'entreprise afin de limiter la portée de la validation PCI. Si une organisation n'est pas en mesure de contenir la portée du CDE, les contrôles de sécurité PCI s'appliqueront alors à chaque système, ordinateur portable et périphérique de son réseau d'entreprise. Personne n'a le temps pour ça.

Un examen annuel des contrôles de sécurité requis

Quelle que soit la manière dont les données de carte sont acceptées, les organisations qui gèrent les paiements par carte de crédit doivent remplir un formulaire de validation PCI chaque année pour maintenir la conformité.

12 Exigences principales pour PCI DSS

Les normes de sécurité les plus récentes, PCI DSS version 3.2.1, comprennent 12 exigences principales avec plus de 300 sous-exigences qui reflètent les meilleures pratiques de sécurité.

Ces 12 exigences principales sont :

  1. Installer et maintenir une configuration de pare-feu pour protéger les informations des titulaires de carte
  2. N'utilisez jamais les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité
  3. Protégez les données de titulaire de carte stockées
  4. Crypter la transmission des données de titulaire de carte sur des réseaux ouverts ou publics
  5. Protégez tous les systèmes contre les logiciels malveillants et mettez régulièrement à jour le logiciel antivirus
  6. Développer et maintenir des systèmes et des applications sécurisés
  7. Restreindre l'accès aux données du titulaire de la carte
  8. Identifier et authentifier l'accès aux composants du système
  9. Restreindre l'accès physique aux données des titulaires de carte
  10. Suivez et surveillez tous les accès aux ressources du réseau et aux données des titulaires de cartes
  11. Tester régulièrement les systèmes et processus de sécurité
  12. Maintenir une politique qui traite de la sécurité des informations pour tous les employés

Les nouvelles entreprises peuvent valider la conformité PCI via neuf questionnaires d'auto-évaluation qui sont chacun un sous-ensemble de l'ensemble des exigences PCI DSS. La difficulté vient d'essayer de déterminer quelles exigences sont nécessaires pour votre entreprise. Certaines entreprises engageront un auditeur agréé par le Conseil PCI pour s'assurer que chaque exigence PCI DSS a été respectée. Et comme si ce n'était pas assez compliqué, le Conseil PCI révise les règles tous les trois ans et publie des mises à jour tout au long de l'année. Comment les entreprises peuvent-elles sécuriser leurs données de carte de crédit et maintenir la conformité PCI compte tenu de ces facteurs ?

Façons de sécuriser

Il existe un certain nombre de moyens acceptés pour sécuriser votre site Web avec les exigences PCI DSS, de l'embauche d'une société d'évaluateur de sécurité qualifié (QSA), à l'utilisation du processus PCI en 3 étapes, et via Nexcess Safe Harbor en partenariat avec Stripe.

1. Un évaluateur de sécurité qualifié

Un évaluateur de sécurité qualifié est une entreprise de sécurité des données qualifiée par le Conseil PCI pour effectuer des évaluations sur site des normes de sécurité des données PCI. Un évaluateur vérifiera toutes les informations techniques fournies par le commerçant ou le fournisseur de services et utilisera un jugement indépendant pour confirmer que la norme a été respectée. Une liste des sociétés qualifiées d'évaluateur de sécurité (QSA) peut être trouvée ici.

2. Le processus PCI en 3 étapes

  1. Asses Identifier les données des titulaires de carte, dresser un inventaire des actifs informatiques et des processus métier pour le traitement des cartes de paiement et les analyser pour détecter les vulnérabilités.
  2. Corriger les vulnérabilités et éliminer le stockage des données des titulaires de carte sauf en cas d'absolue nécessité.
  3. Rapport Compiler et soumettre les rapports requis à la banque acquéreuse et aux marques de cartes appropriées.

3. Port sûr

Magento 1 a atteint sa fin de vie en juin 2020, plaçant des milliers de sites de commerce électronique dans une zone grise de conformité lorsque Adobe a cessé de publier des mises à jour de sécurité officielles.

Bien que l'application de commerce électronique elle-même ne représente qu'une petite partie de ce qu'implique réellement la conformité PCI, pour les marchands qui exploitent toujours leurs sites de commerce électronique sur Magento 1, il est important de noter qu'il n'y aura plus de correctifs de sécurité ni de mises à jour pour la plate-forme. Ils sont seuls à moins d'avoir investi dans une solution comme Nexcess Safe Harbor. Nous vous suggérons fortement de consulter Stripe, qui s'est engagé à maintenir son module Magento 1 pour ses clients.

Bande

Stripe reste déterminé à permettre aux utilisateurs d'utiliser en toute sécurité les produits Stripe dans Magento 1. À cette fin, Nexcess vous encourage à installer le module officiel Magento 1 de Stripe, qui utilise Stripe.js et Elements pour simplifier la conformité PCI de votre site. Stripe continuera à publier des correctifs de bogues et des mises à jour de sécurité pour le module Stripe Magento 1 afin de garantir que cette solution respecte les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Conclusion

Comme vous pouvez le voir, atteindre et maintenir la conformité PCI n'est pas une mince affaire. Mais avec les bonnes informations, l'assistance d'un professionnel de la conformité et Nexcess Safe Harbor, les entreprises opérant toujours sur Magento 1 peuvent conserver les données de carte de crédit de leurs clients en toute sécurité.