Renseignements: 09 74 76 74 02   http://www.trustedapplication.com/ http://www.trustedapplication.com/sp/ http://www.trustedapplication.com/en/
 
 
La norme PCI
 
 
 
 
 
Accueil
Technologie
La Charte
Contrat Multirisques
Authentification
Audit
Ressources


Qu’est-ce que le PCI DSS ?
 
Contrat Sécurité Multirisques
La Norme PCI DSS (Payment Card Industry Data Security Standard) a été élaborée par les sociétés de carte de paiement, c’est-à-dire American Express, Discover Financial Services, JCB International, MasterCard Worldwide and Visa Inc, pour aider à faciliter une large adoption de mesures de sécurité des bases de données. C’est une norme globale qui  créé un standard commun pour la sécurité des tous les circuits de paiement touchant les cartes bancaires.
   
Toute organisation qui émet, conserve, ou traite des données de carte de paiement est tenue de se conformer à la Norme PCI DSS ; le non-respect de ce cadre réglementaire peut entraîner des amendes et frais éléves. L’impact négatif sur la confiance des clients et sur l’activité financière rend la protection des données de carte de paiement non seulement importante mais essentielle, et ce, quelque soit le type de commerce.
Les grands détaillants en ligne ne sont pas les seules organisations ciblées. L’attention du public est souvent focalisée sur des pertes de sociétés importantes, mais il s’avère que de plus en plus d’actions criminelles  visent de sites e-commerce de petite taille. Dans certains cas, les pirates peuvent accéder en temps réel au trafic sur un site Web, et ainsi  dérober des numéros de carte de crédit valides pour effectuer dans un délai très court de nombreux achats frauduleux.
Même si les petites entreprises de commerce électronique sont moins victimes, elles constituent une cible plus facile, car elles ont tendance à être globalement moins bien protégées.
Les dégâts liés au cybercrime réduisent la confiance des consommateurs et ralentissent la progression de l'e-commerce. Il est utile pour tout acteur du e-business de réfléchir à un objectif majeur annoncé par PCI Portal dans le cadre des sessions éducatives tenues partout dans le monde entier. En effet, les dispositifs d’information PCI tendent à :
* Encourager l'adoption de bonnes pratiques existantes et de technologies émergeantes pour faciliter un cadre de transaction de carte sûr qui stimulera la compétition et augmentera la croissance des revenus
 
 
Les exigences PCI DSS
 
Pour repecter la norme PCI DSS les organisations devront procéder à une mise en conformité suite à une analyse informatique réalisée par le biais d'audits.
   
Les sociétés doivent faire valider leurs processus de sécurité en se soumettant annuellement à un audit sur site et en réalisant trimestriellement un scan de vulnérabilités sur les points d'accès externes (site Web, messagerie, etc.).
Les 12 exigences précises de la norme PCI DSS peuvent être regroupées sous 6 grands chapîtres :
>> Mise en place et gestion d'un réseau sécurisé
>> Protection des données sensibles
>> Elaboration d'un programme de gestion des vulnérabilités
>> Mise en œuvre de dispositifs de contrôle d'accès
>> Surveillance continue et tests fréquents
>> Maintenir une politique axée sur la sécurité de l’information
 
 
La Technologie de Bee Ware: Prévention et Protection
L’utilisation d’un firewall applicatif (cf la solution i-Sentry de Bee Ware) ainsi que la pratique du scan trimestriel  sont des exigences clés qui permettent d’assurer la conformité à la norme PCI.

6ème exigence PCI : développer et gérer des applications et systèmes sécurisés
Point 6.6 était considéré comme une « meilleure pratique » jusqu’au 30 juin 2008, mais est désormais obligatoire.
 6.6 Faire en sorte que toutes les applications d’interface Internet soient protégées contre les attaques connues grâce à l’une ou l’autre des méthodes suivantes :
* faire contrôler par une organisation spécialisée dans la sécurité des applications, tout code d'application
personnalisé aux fins de détection des vulnérabilités courantes ;
* Installer un pare-feu de couche application qui protège les applications d’interface Internet.
11ème exigence : tester régulièrement les systèmes et procédures de sécurité
 Des vulnérabilités sont constamment découvertes par des pirates et chercheurs et sont introduites par de nouveaux logiciels. Les systèmes, procédés et logiciels personnalisés doivent être testés fréquemment pour vérifier que la sécurité est assurée dans la durée, ainsi qu'en liaison avec toutes modifications du logiciel.
 11.2 Réaliser des balayages de vulnérabilité de réseau, internes et externes, au moins une fois par trimestre, ainsi qu’après toute modification importante du réseau (telles que l’installation de nouvelles composantes de système, les modifications de la topologie du réseau, les changements des règles du pare-feu, les mises à jour de produit).