Assurer la conformité des données à la norme PCI-DSS

Aperçu de PCI-DSS

Norme de sécurité des données de l’industrie des cartes de paiement

PCI DSS est l’abréviation de Payment Card Industry Data Security Standard. Il s’agit d’un ensemble de normes de sécurité conçues pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé. Ces normes s’appliquent à toute organisation, quelle que soit sa taille ou son type, qui accepte, traite, stocke ou transmet des informations relatives aux cartes de crédit. L’objectif de PCI DSS est de protéger les informations sensibles contre le vol par des pirates informatiques et de prévenir la fraude par carte de crédit.

Entreprises impactées

Les entreprises qui acceptent les paiements par carte de crédit sont tenues de se conformer aux normes PCI DSS. Le non-respect de ces normes peut entraîner des amendes, des pénalités et d’autres conséquences de la part des sociétés de cartes de crédit, comme la perte de la capacité à accepter les paiements par carte de crédit. 

En outre, si les entreprises sont victimes d’une violation des données et qu’il s’avère qu’elles ne respectaient pas les normes PCI DSS, elles peuvent faire l’objet de poursuites judiciaires et voir leur réputation entachée. 

Il est donc important que les entreprises comprennent et respectent les normes PCI DSS pour se protéger et protéger leurs clients.

Types de données couvertes

La norme PCI DSS couvre toutes les données associées aux transactions par carte de crédit, notamment le nom du titulaire de la carte, le numéro de compte, la date d’expiration et le code de sécurité. Elle couvre également toutes les données qui sont stockées, traitées ou transmises dans le cadre d’une transaction par carte de crédit, comme les détails de la transaction et les reçus. 

En général, PCI DSS s’applique à toutes les données qui pourraient être utilisées pour commettre une fraude à la carte de crédit.

Exigences de conformité

PCI DSS comporte six exigences principales, connues sous le nom de « Six objectifs de PCI DSS », auxquelles les organisations doivent se conformer afin d’être considérées comme conformes. Ces exigences sont les suivantes:

1. Construire et maintenir un réseau sécurisé : Il s’agit notamment d’installer et de maintenir un pare-feu pour protéger les données des titulaires de cartes, et de mettre en place des contrôles d’accès sécurisés pour empêcher tout accès non autorisé aux données.
2. Protéger les données des titulaires de cartes : Il s’agit de protéger les informations sensibles, telles que les numéros de carte de crédit, contre l’accès ou le vol par des personnes non autorisées.
3. Maintenir un programme de gestion des vulnérabilités : Il s’agit d’identifier et de traiter régulièrement les vulnérabilités du système, telles que les failles logicielles ou les failles de sécurité, afin d’éviter qu’elles ne soient exploitées par des attaquants.
4. Mettre en œuvre des mesures de contrôle d’accès strictes : Il s’agit de limiter l’accès aux données des titulaires de cartes aux seules personnes qui en ont besoin pour accomplir leurs tâches professionnelles, et de surveiller et suivre régulièrement l’accès aux données.
5. Surveillez et testez régulièrement les réseaux : Il s’agit de tester régulièrement la sécurité du réseau et des systèmes, et de surveiller toute activité suspecte qui pourrait indiquer une violation potentielle.
6. Maintenir une politique de sécurité de l’information : Il s’agit notamment d’élaborer et de maintenir une politique de sécurité de l’information qui décrit les mesures que l’organisation prendra pour protéger les données des titulaires de cartes et assurer la conformité avec la norme PCI DSS.

Les organisations doivent également se soumettre à des évaluations périodiques pour vérifier qu’elles se conforment aux exigences de la norme PCI DSS, et doivent fournir des preuves de conformité aux sociétés de cartes de crédit.

Mise en oeuvre et sanctions

Si une organisation est jugée non conforme aux exigences PCI DSS, elle peut être confrontée à toute une série de conséquences, en fonction de la gravité de la non-conformité et du nombre de violations. Les sanctions peuvent inclure des amendes, la suspension de la capacité à traiter les paiements par carte de crédit et des actions en justice. Dans certains cas, les sociétés de cartes de crédit peuvent également exiger de l’organisation qu’elle engage une société de sécurité tierce pour évaluer et corriger les faiblesses de sécurité de ses systèmes.

L’application de la norme PCI DSS est généralement assurée par les sociétés de cartes de crédit elles-mêmes, ainsi que par des évaluateurs tiers certifiés par le Conseil des normes de sécurité PCI. Ces entités procèdent à des évaluations périodiques des organisations pour s’assurer qu’elles respectent les exigences de la norme PCI DSS et prennent les mesures appropriées en cas de non-conformité.

6 façons dont Qohash assure la conformité

Identification des brèches

Surveillez le risque lié aux données sensibles en tout temps et recevez des alertes dès qu’une accumulation, une suppression ou une exfiltration à risque se produit. Si un incident se produit, utilisez la recherche par mot-clé pour trouver un élément de données spécifique et suivez le cheminement complet des données, y compris l’endroit exact où les données ont été extraites d’un environnement, où elles ont abouti et tous les points de contact intermédiaires.

Inventaire des données sensibles

Qohash fournit un inventaire complet des données sensibles et non structurées au repos. Qohash découvre les données sensibles 50 fois plus vite que les autres solutions, sur n’importe quelle source de données, à tout endroit. Qohash permet l’étiquetage, la classification, les recherches personnalisées par RegEx et par mot-clé, ainsi que le classement et la contextualisation des risques.

Suppression des données

Effectuez des recherches par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies de données sensibles dans les systèmes de l’entreprise. Découvrez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise. Voyez comment des éléments de données spécifiques ont été déplacés entre les employés et les sites. Supprimez des données directement dans la plateforme pour démontrer la conformité aux demandes de suppression de données en tout lieu, y compris les postes de travail.

Application des politiques

Qohash fournit aux auditeurs la preuve que les données sensibles sont surveillées et associées aux interactions des employés, permettant ainsi l’application des politiques au moment même. Qohash examine les fichiers pour suivre les éléments de données. Il surveille ces éléments et les associe aux employés et aux emplacements. Sachez à quel moment un employé a une interaction risquée avec des données sensibles. Tracez l’historique de tout élément de données qui se déplace sur les postes de travail, pour une remédiation plus rapide.

Contrôle d’accès

Créez rapidement une liste de contrôle d’accès de toutes les données réglementées par diverses lois. Fournissez des preuves des restrictions et montrez que vous évaluez régulièrement si les personnes ayant accès ont un besoin professionnel légitime.