Les institutions qui stockent, traitent ou transmettent les données des titulaires de carte de paiement sont soumises au cadre de conformité connu sous le nom de PCI-DSS (Payment Card Industry Data Security Standard). Cadre qui aide à protéger les titulaires de carte de paiement et les entreprises traitant leurs données contre les cyberattaques et les fuites des données. Le 31 mars 2022, le Conseil des normes de sécurité PCI (PCI SSC) a publié la version 4.0 de son PCI DSS.
Pour y voir plus clair, Specops Software, leader des solutions de gestion de mot de passe en entreprise – partage aujourd’hui avec vous un récapitulatif de ce que cela implique pour les diffèrents acteurs. Quelles sont les modifications présentées dans cette nouvelle version ?
Avec le PCI DSS v4.0, les ajouts suivants ont été effectués :
- Alors que le mot de passe minimum pour les comptes d’utilisateurs généraux a été défini à 12 caractères, pour les comptes de service utilisés par les applications, les services et les systèmes, la recommandation est d’un mot de passe avec au moins 15 caractères pour les exigences de complexité – avec des caractères alphanumériques et une vérification systématique que le mot de passe choisi ne figure pas sur une liste de mots de passe compromis connue.
- Les organisations doivent aller plus loin que les valeurs par défaut des fournisseurs et réfléchir davantage aux configurations sécurisées à tous les niveaux.
- L’authentification multifacteurs (MFA) est requise pour tous les comptes qui ont accès aux environnements de données de titulaires de carte PCI dans le champ d’application.
- Les entreprises doivent revoir les privilèges d’accès au moins tous les 6 mois.
- Les comptes tiers ne doivent être activés que lorsqu’ils sont nécessaires à l’utilisation et désactivés dans le cas contraire. Une surveillance spécifique est nécessaire pour ces comptes tiers.
- Lorsqu’un 2e facteur d’identification est requis, cette exigence d’expiration spécifique a été supprimée.
Quand les organisations doivent-elles mettre en œuvre le PCI DSS v4.0 ?
Il y aura une période de transition entre PCI DSS v3.2.1 et la nouvelle version v4.0. Les organisations devront l’avoir pleinement adoptée d’ici le 31 mars 2025. Cependant, il serait prudent pour les entreprises de commencer dès à présent à effectuer les transitions nécessaires afin d’être prêtes et conformes en 2025.
Specops Password Policy avec Breached Password Protection fournit aux organisations les outils nécessaires pour se conformer aux normes du PCI DSS v4.0 et aux autres exigences du programme afin de protéger les mots de passe des comptes.
Trois points à garder en tête dans cet article :
- PCI DSS v4.0 conserve bon nombre des mêmes concepts de base que la version v3.2.1 actuelle. Cependant, il renforce les exigences des mots de passe de comptes et d’autres domaines autour de l’authentification et de l’autorisation.
- Les organisations doivent être entièrement conformes aux normes du PCI DSS v4.0 d’ici le 31 mars 2025.
- Les exigences du PCI DSS s’appliquent aux entités avec des environnements dans lesquels les données de titulaires de carte sont stockées, traitées ou transmises ainsi qu’aux entités dont les environnements peuvent avoir un impact sur la sécurité des données des titulaires de cartes (CDE).
