Compte Rendu de Granit du 13/11/2008 sur PCI-DSS

Encore une présentation intéressante de Granit sécurité. PCI-DSS (Payment Card Industry Data Security Standard) est donc un programme de sécurité autour des cartes bancaires. Cette norme est la convergence de plusieurs travaux sur les cartes bancaires.

PCI-SSC (Security Standard Concil) est composé de 3 normes :

1. DSS : Organisationne pour éviter les vols et les fraudes autour des cartes bancaires
2. PED (Pin Entry Device) : Lié aux terminaux de paiement
3. PA-DSS (Payment Application) : Lié au développement d’application qui prennent en charge des données de carte bancaire (développement par une tierce partie)

La norme PCI-DSS s’applique dès que le numéro de la carte est stockée, traitée ou transmise. Le périmètre d’application est lié à tout ce qui stocke ou traite les données du titulaire de la carte. La segmentation des réseaux est donc très importante pour impliquer un minimum d’équipements ou d’applications liés au traitement de ces données. Il n’y a pas d’implication du fournisseur du lien physique (par exemple France Telecom).

Les sociétés nécessitant une conformité PCI-DSS n’auront que peu de travaux à mener s’ils possèdent déjà une démarche sécurité de style ISO 27001, les autres auront tout à construire. Ils devront passer par un état des lieux puis une procédure d’amélioration afin d’accéder à un niveau de sécurité suffisant (d’un point de vue technique et organisationnel).

Les relations entre les différents acteurs intervenant dans un paiement par carte bancaire sont :

1. Commerçant
2. Banque de l’acquéreur
3. Organisme de la carte bancaire
4. Banque de l’acheteur

La banque de l’acquéreur doit s’assurer de la conformité du commerçant vis-à-vis de la norme, lorsque celui-ci stocke ou traite des données liées aux cartes. La banque de l’acquéreur est donc responsable de cette conformité PCI-DSS. Les organismes des cartes bancaires peuvent demander à voir cette conformité sinon des pénalités sur les transactions seront appliquées.

Ce qui change dernièrement c’est que cette conformité sera de plus en plus demandée. PCI-DSS applique des niveaux de vérification selon le nombre de transactions effectuées par an. Le niveau 4 demandera moins d’effort, un simple questionnaire est prévu pour juger de la conformité. Au niveau supérieur une validation explicite par un auditeur sera demandée. Le niveau 1 demandera un scan de vulnérabilité, et un questionnaire d’audit sur site annuel.

Un nouveau business est donc né suite à la mise en conformité et à un suivi plus important de la part des organismes des cartes bancaires.