Salutations de la part de CYBERIX
Comme vous le savez tous, le mois de Juin a été fortement marqué au sein de notre cabinet par notre accréditation par le Consortium PCI-SSC. Aujourd’hui, CYBERIX est accrédité comme Intégrateur et Revendeur de solutions PCI DSS (QIR). Cette accréditation nous confère la qualité, mais aussi le charisme nous permettant de vous accompagner en tant que partenaire de confiance et implémenteur (Intégrateur) vers la conformité PCI DSS v4.
En revanche, Depuis Mars 2022, la norme PCI DSS est passée à sa version 4.0, ceci avec beaucoup de nouvelles clauses et des modifications structurelles qui ont modifiées l’approche des missions d’implémentation de ladite norme. Beaucoup de contrôles ont été ajoutés, mais aussi, le spectre de contrôle du critère d’audit et d’évaluation s’est agrandi.
- Quels sont en réalités les différents changements qui ont accompagnées cette évolution ?
- Qu’est ce qu’il y a de nouveau au niveau du référentiel ?
- Les réponses à ces interrogations constituent le socle de cet article.
Il faut avant tout savoir que la norme PCI DSS à sa version 3.2.1 reste valide jusqu’à 31 Mars 2025, date à partir de laquelle le passage à la version 4.0 deviendra obligatoire. Certaines exigences de la version 4.0 ne deviendront pas obligatoires avant Mars 2025 ; Alors jusqu’à cette date, les nouvelles exigences sont reconnues et considérées comme des « Bonnes Pratiques ».
REUSSIR LA TRANSITION : UN DEFI NON NEGLIGEABLE POUR TOUS !
La période de transition étant du 31 mars 2022 au 31 mars 2024, Durant cette période, vous aurez la possibilité d’adapter vos documents, rapports et autres formulaires ou registres aux nouvelles exigences. La norme PCIDSS 3.2.1 restera en vigueur pendant cette période si vous avez déjà obtenu la certification.
Certaines des nouvelles exigences de la version 4.0 ne deviendront obligatoires que le 31 mars 2025. Jusqu’à cette date, ces exigences sont considérées comme des “meilleures pratiques”. Cependant, pour éviter de se retrouver avec des demandes de dernière minute qui peuvent s’avérer difficiles à mettre en œuvre rapidement, nous vous recommandons de commencer déjà avec l’implementation guidée par un cabinet intégrateur (QIR).
Nous nous sommes également penchés sur la norme elle-même, notamment le nouveau ROC (Report on Compliance), pour comprendre les changements. Il est évident qu’ y a des changements , mais plus important encore, les nuances spécifiques liées aux changements méritent une attention particulière.
OBJECTIFS DE LA NOUVELLE VERSION DE LA NORME PCIDSS V4.0
Voici une vue d’ensemble des objectifs que le Conseil de sécurité des normes PCI établit pour l’industrie des cartes de paiement dans la version 4.0 :
- Veiller à ce que les normes PCI continuent de répondre aux besoins de sécurité du secteur des paiements
- Ajouter la flexibilité et le soutien d’autres méthodologies pour renforcer la sécurité des paiements
- Promouvoir la sécurité des titulaires de carte en tant que processus continu, en fusionnant la sécurité avec les processus métier
- Améliorer les méthodes et procédures de validation pour rationaliser le processus de conformité
Voici les domaines techniques dont la modification est envisagée dans le cadre de la norme PCI DSS 4.0 :
- Conseils pour l’authentification et les mots de passe
- Exigences en matière de surveillance avancée des systèmes
- Conseils supplémentaires pour l’authentification à plusieurs facteurs
En bref, la norme PCI DSS 4.0 est conçue pour sécuriser davantage les données des titulaires de carte en aidant les entreprises à adopter une vision plus globale des mesures de sécurité et des contrôles d’accès. Elle doit également répondre aux nouvelles menaces posées par les avancées technologiques. Dans notre prochain article, nous déroulerons toutes les exigences de la norme.
A Très bientôt !