Mises à jour de la norme PCI DSS : renforcer la sécurité des paiements face à des cybermenaces complexeses 

Le 1^er avril 2024, le Conseil des normes de sécurité PCI a lancé la version 4.0 de PCI DSS* : une avancée majeure pour l’amélioration continue, la flexibilité et le renforcement de la sécurité dans le secteur d’activité des paiements. Ces normes reflètent la collaboration et les commentaires de plus de 200 organisations du secteur d’activité des paiements, tout en s’adaptant aux évolutions technologiques, aux risques de fraude* et aux attentes en matière de transparence. La norme PCI DSS 4.0 a introduit des mises à jour essentielles pour renforcer la sécurité, répondant aux menaces en constante évolution et aux avancées technologiques dans le traitement des paiements. Récemment, le Conseil des normes de sécurité PCI* a publié la version 4.0.1 pour continuer à s’adapter aux tendances en matière de sécurité et intégrer les commentaires des experts.

Cette version a introduit plusieurs pratiques exemplaires qui sont désormais exigées, mettant l’accent sur des domaines clés du commerce électronique. Le cas échéant, les entreprises doivent mettre en œuvre ces exigences avant le 31 mars 2025, et elles n’ont pas à le faire seules. Votre fournisseur de paiements est un partenaire clé dans le développement de vos pratiques et technologies en matière de sécurité des paiements.

Mirian Hubbard, directrice des programmes PCI et des solutions de sécurité pour les commerçants en Amérique du Nord, explique : « Compte tenu du rythme de l’innovation, il est crucial de travailler avec un acquéreur qui non seulement reste informé, mais peut également fournir des solutions et une expertise pour aider les entreprises à naviguer dans le paysage de la sécurité des paiements en constante évolution. 

Voici les trois domaines dans lesquels il convient de prendre des mesures pour assurer la conformité :

Établir un solide programme de gestion de la vulnérabilité pour renforcer la sécurité de l’acceptation des paiements

Les entreprises, quelle que soit leur taille, doivent prendre les risques de sécurité des paiements au sérieux et établir des processus pour surveiller les vulnérabilités dans leurs opérations : systèmes PDV, boutiques en ligne, intégrations tierces, etc. Il est crucial de surveiller régulièrement les failles de sécurité potentielles et de combler rapidement les lacunes qui pourraient mener à une cyberattaque ou à une perte de données client. Par exemple :

• Les commerçants doivent mettre en place des configurations sécurisées sur les serveurs web, avec un contrôle strict des comptes et des mots de passe par défaut des fournisseurs, afin d’empêcher tout accès non autorisé.
• Les pages de paiement des sites de commerce électronique ne doivent contenir que des scripts autorisés, soutenus par un inventaire permettant de maintenir l’intégrité des scripts et d’atténuer les risques liés aux iFrames. (Exigence 6.4.3)*
• Les sites de vente au détail en ligne doivent intégrer des mécanismes de protection en amont, tels que des mécanismes de détection de fraude, afin d’alerter le personnel en cas de modifications non autorisées sur les pages de paiement, avec une surveillance hebdomadaire. (Exigence 11.6.1)*

Au-delà de la surveillance, les entreprises doivent documenter en continu les changements et dresser un bilan des flux de données de paiement en vue du questionnaire d’auto-évaluation (QAE) annuelle*. La mise à jour des exigences de la norme PCI DSS inclut des changements subtils complémentaires dans le QAE que nous pouvons vous aider à comprendre avec l’aide de notre fournisseur de sécurité tiers, VikingCloud, par l’intermédiaire de notre portail de validation PCI en ligne. Nous fournissons aux commerçants les outils nécessaires pour comprendre facilement les exigences de sécurité, améliorer continuellement les processus de paiement et valider leur conformité.

Prioriser la formation des employés sur les pratiques de sécurité

Les nouvelles exigences de la norme PCI DSS soulignent l’importance de considérer la sécurité des paiements comme une responsabilité partagée dans toute l’entreprise, et avec tous les fournisseurs externes avec lesquels vous travaillez. Le respect de ces exigences ne se limite pas à la mise en œuvre de solutions techniques adéquates, vous devez également investir dans la formation et les ressources de vos employés* afin qu’ils puissent gérer en toute confiance les pratiques et les mesures de protection en matière de sécurité. De l’authentification multifactorielle aux mots de passe robustes, en passant par la protection des dispositifs de point de vente, vos employés doivent se sentir capables de protéger votre organisation contre les cyberrisques et les menaces en personne. Créer une culture de sécurité et d’amélioration continue permettra grandement de protéger les données de paiement de vos clients et d’assurer la conformité aux exigences de la norme PCI DSS.

Rester informé de l’évolution des menaces et des responsabilités

Suivre le rythme d’un paysage de menaces complexe et évolutif est crucial pour maintenir la conformité à la norme PCI DSS. Il est essentiel de définir des rôles clairs dans la gestion des vulnérabilités, en particulier pour les commerçants en ligne qui utilisent des tiers fournisseurs de services (TFS) pour les pages de paiement hébergées. En restant proactives, les organisations peuvent clarifier ces responsabilités et collaborer étroitement avec leurs fournisseurs pour résoudre les vulnérabilités. Afin de maintenir une culture d’amélioration continue, il est primordial de suivre en permanence les actualités et les tendances du secteur d’activité pour détecter les nouvelles menaces qui pèsent sur vos données de paiement. Dans notre monde numérique en rapide évolution, les fraudeurs innovent sans cesse de nouvelles façons pour subtiliser les données des titulaires de carte*, compromettre les systèmes organisationnels* et manipuler les employés par des tactiques de piratage psychologique*. En restant au fait des nouvelles menaces, votre organisation peut renforcer ses défenses et travailler avec son fournisseur de paiements pour améliorer les systèmes.

Alors que la date limite de conformité aux nouvelles exigences approche en 2025, les organisations qui prennent des mesures proactives dès aujourd’hui seront bien préparées pour relever les défis futurs de la norme PCI DSS. En restant informé et vigilant, vous serez prêt à répondre aux exigences de sécurité des paiements et à protéger vos clients contre les menaces externes évolutives. 

* En sélectionnant ce lien, vous quitterez le contenu d’Elavon et entrerez sur le site Web d’un tiers. Elavon n’est pas responsable du contenu, des produits ou des services fournis par ce tiers, et ne garantit pas la disponibilité du système ni l’exactitude des renseignements qu’il contient. Ce site Web n’est pas contrôlé par Elavon. Veuillez noter que les sites Web de tiers peuvent avoir des politiques sur la protection de la vie privée et la sécurité de l’information qui diffèrent de celles d’Elavon.