Norme de sécurité des données de l’industrie des cartes de paiement (pci dss)



par

Définition - Que signifie la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)?

La norme de sécurité des données de l'industrie des cartes de paiement est une norme propriétaire pour toutes les organisations qui traitent, transmettent ou stockent les données des titulaires de cartes de paiement.

La norme fournit un cadre avec des technologies et des pratiques qui doivent être respectées afin de protéger et de sécuriser les données des titulaires de carte. Les marques de cartes sont conformes aux normes intégrées par la norme de sécurité des données de l'industrie des cartes de paiement et constituent l'une des principales exigences techniques pour leurs programmes de conformité à la sécurité des données.

Definir Tech explique la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

La norme de sécurité des données de l'industrie des cartes de paiement est gérée par le Conseil des normes de l'industrie des cartes de paiement. La validation de la conformité par les organisations se fait par une analyse périodique du réseau ainsi que par un audit de sécurité annuel.

En se conformant aux normes de sécurité des données de l'industrie des cartes de paiement, les entreprises bénéficient d'une plus grande confiance et d'une plus grande activité auprès des clients. La norme aide également indirectement les organisations à se conformer à des normes industrielles similaires, à améliorer l'efficacité de l'infrastructure informatique et à fournir une base pour différentes stratégies de sécurité. L'ensemble complet de normes peut être téléchargé à partir du site Web du conseil des normes de sécurité de l'industrie des cartes de paiement.

La norme peut être regroupée en six catégories avec 12 exigences qui sont les suivantes:

  1. Construire et maintenir un réseau sécurisé.
    • Condition 1: afin de protéger les données, installer et maintenir une configuration de pare-feu.
    • Condition 2: éviter les valeurs par défaut fournies par le fournisseur pour les paramètres de sécurité et les mots de passe système.
  2. Exigence relative à la protection des données des titulaires de carte
    • Condition 3: Protéger les données stockées.
    • Exigence 4: sur les réseaux publics, toutes les informations sensibles et les données de titulaires de carte doivent être cryptées avant la transmission.
  3. Disponibilité d'un programme de gestion des vulnérabilités
    • Condition 5: Un logiciel antivirus doit être utilisé et régulièrement mis à jour.
    • Exigence 6: Des systèmes et des applications sécurisés doivent être développés et maintenus.
  4. Des mesures de contrôle d'accès strictes doivent être mises en œuvre
    • Exigence 7: Restriction des données avec des contrôles d'accès appropriés.
    • Exigence 8: Fournir un identifiant unique pour chaque utilisateur ayant un accès informatique
    • Condition 9: Restriction physique des données des titulaires de carte.
  5. Test périodique et surveillance des réseaux
    • Exigence 10: Tous les accès aux données des titulaires de carte et aux ressources du réseau doivent être surveillés et suivis.
    • Exigence 11: Test périodique des processus et des environnements de sécurité.
  6. Utilisation et maintenance d'une politique de sécurité de l'information
    • Exigence 12: Maintien des normes de politique qui aident à résoudre tous les processus et problèmes liés à la sécurité de l'information.