Évolutions et Impacts de PCI-DSS Octobre 2016

Temps de lecture estimé : 9 min

Évolutions et Impacts de PCI-DSS Octobre 2016Évolutions et impacts de PCI-DSS Octobre 2016

L’association « Payment Card Industry Data Security Standard » rappelle que sa dernière mise à jour (PCI DSS 3.2) est effective à compter du mois de novembre 2016. « Évolutions et impacts de PCI-DSS octobre 2016 » revient sur les principaux points de conformité auxquels les acteurs du paiement doivent se conformer.

Evolutions de PCI-DSS 3.1 et 3.2

Les principes de PCI-DSS 3.1

Pour mémoire, la précédente version de PCI-DSS date de mai 2015 (cf. notre article : Impacts et Évolutions de PCI-DSS 3.1). C’est donc une nouvelle mise à jour qui impacte l’écosystème de la monétique, d’Internet et des objets connectés qui y sont associés.

Une nécessité en regard de l’évolution de la fraude dans le Monde. Pour la France, nous avions déjà décrypté le dernier rapport de la « Banque de France » . Un contenu analysé sous l’angle de l’évolution d’une fraude indirecte. La conséquence de l’essor anarchique du eCommerce sans véritables garde-fous. Vous trouverez, ci-après, nos trois articles consacrés à ce dossier sensible traités par notre rédaction.

Évolutions et Impacts de PCI-DSS Octobre 2016Source / Auteur : Moneticien.com – Périmètre de PCI-DSS – Octobre 2016

PCI-DSS 3.2 pour conserver sa certification

Plusieurs points de la chaine de valeurs monétique sont impactés par l’évolution du standard « PCI-DSS 3.2 » et dont vous trouverez ci-dessous le sommaire de notre dossier intitulé « Évolutions et impacts de PCI-DSS octobre 2016 » , comme suit : moneticien.com – « Évolutions et Impacts de PCI-DSS Octobre 2016 » – 11/2016 – Tous Droits Réservés

  • Introduction
  • Plusieurs causes à cette évolution
  • Impacts sur la chaine de valeurs monétique
  • Conclusion

Pour mémoire, les acteurs de la chaine de valeurs du paiement par cartes doivent respecter douze principes fondateurs. Toute évolution majeure (ex: version 2 à 3) ou secondaire (ex: 3.1 à la version 3.2) impacte un ou plusieurs de ces douze principes. L’objectif final étant d’être certifié ou de conserver sa certification.

Plusieurs causes à cette évolution

Une complexité croisante des cyberattaques

C’est devenue une habitude, le « standard PCI DSS » évolue régulièrement afin de répondre à une complexité toujours croissante. Il s’agit de la fraude des secteurs du paiement et du retrait. Elles sont le fait d’un individu isolé, de bandes criminelles organisées ou encore de robots. Ces derniers étant programmés pour sourcer les cyber-failles.

Le dénominateur commun aux évolutions de ce standard est de conserver au pire : « un seul coup de retard sur les fraudeurs » . Au mieux, « d’anticiper les futures vulnérabilités de la chaine de valeurs d’une opération de paiement et de retrait quel que soit le support utilisé » .

Une approche par les risques qui évolue

Une situation qui change les paradigmes du métier de la gestion des « risques et sécurité » . Les scenari de vulnérabilités étaient intégrés en amont et non en aval. Une pratique habituelle du développement des produits et des services. Avec l’ouverture du marché des paiements et des circuits d’échanges de données, les vulnérabilités ont été révélées.

Rappelez-vous « l’affaire Target » aux États-Unis. Un sujet largement couvert et commenté en son temps sur Moneticien. Elle a contribué à l’amélioration de la sécurité et du renforcement du standard PCI-DSS (cf. Class-action de deux banques américaines contre Target et Trustwave – mars 2014).

Depuis 2014, d’autres affaires sont apparues malmenant l’écosystème de la carte de paiement et de retrait. Depuis l’implémentation d’un microcircuit dans les années 1980, on n’avait jamais vu cela. « Home-Depot » , « Sally Beauty » et bien d’autres sociétés ont confirmé la nécessité de faire évoluer les règles du standard PCI-DSS.

PCI-DSS 3.2 une version déjà obsolète

Un nouveau scandale, non encore relayé par la Presse, rend déjà obsolète la version 3.2. Aussi, une mise à jour majeure (version PCI-DSS 4.0) devrait intervenir au cours du premier semestre 2017. Une nouvelle exclusivité de la rédaction de Moneticien.

Cette partie est réservée à nos adhérents. Merci de renseigner votre code d’accès. La suite en lecture libre ci-dessous. Nous contacter en renseignant le formulaire en bas de page pour souscrire à notre association.

Accès Adhérents

PCI-DSS 4.0 une version attendue

La version « PCI-DSS 3.2 » n’est qu’une étape préparatoire à l’annonce d’une mise à jour majeure qui est attendue au premier semestre 2017. La fraude de nouvelle génération, entendez par l’exploitation d’une cybervulnérabilité, poursuit son essor. Malgré les évolutions successives mises en place par le conseil des normes de sécurité.

Les recommandations et obligations ne portent pas complètement leurs fruits. La tâche est importante de convertir l’ensemble des acteurs de la chaine de valeurs monétique. Rappelons que la mise en place du standard « 3D Secure » , lancée en 2002, concerne moins de 20% des paiements sur Internet.

C’est pourquoi, des mesures additionnelles, en cours de déploiement, doivent permettre d’abaisser le risque d’exposition à la fraude. A l’instar du traitement en temps réel des opérations, de l’identification renforcée du titulaire de la carte, de la protection des serveurs et des sites de eCommerce.

Fin de l’article intitulé « Évolutions et Impacts de PCI-DSS Octobre 2016 » .

Bonne semaine

La Rédaction (Twitter : @moneticien)

COPYRIGHTS MONETICEN.COM – All Rights ReservedTous Droits Réservés

English Readers : We daily monitor all trafic of our website and register all suspect activities in order to provide sufficient proofs. Read our « Legal Notice » for further details.

Lecteurs francophones : Nous scannons quotidiennement le trafic sur notre site et enregistrons toute activité suspecte pour une production de preuves devant la justice. Pour plus d’informations, consultez notre page « Infos Légales » .

[contact_form]

Georges Langeais

Ingénieur informatique, diplômé Executive MBA. Professionnel de la « Monétique, Sécurité et Ecommerce » auprès d'acteurs majeurs (Banque, Éditeurs - France - Europe - USA). Enseignant Chercheur & Maitre de Conférences Associé (Moyens de Paiement - Cybersécurité - Transformation Digitale).

Top