Aujourd’hui, nous vous proposons un article sur l’industrie des cartes de paiement, plus connu sous le nom Payment Card Industry. PCI représente le secteur économique relatif à toutes les organisations traitant les données de cartes bancaires. Ces organisations, qui sont des banques, des processeurs, des commerçants, etc. ne peuvent pas stocker, traiter et transmettre les données bancaires n’importe comment mais doivent respecter des règles communautaires. Ces dernières sont édictées par le conseil des normes de sécurité PCI, aussi connu sous le nom américain PCI Security Standards Council (PCI SSC). Lisez la suite pour en savoir davantage.
PCI SSC est un forum international et ouvert, créé en 2006 sous l’impulsion des 5 réseaux bancaires American Express (Amex), Japan Credit Bureau (JCB), MasterCard Worldwide, Visa International et Discover Financial Services.
Il a pour missions le développement, la gestion, l’éducation et la sensibilisation à la sécurité des différents acteurs sur le secteur PCI.
PCI SSC a ainsi rédigé 5 standards, à ce jour, portant sur :
- la sécurisation des données ;
- la sécurisation des données pour les applications de paiement ;
- les dispositifs de saisie du PIN ;
- le chiffrement des tunnels point-à-point (P2PE) ;
- la production de cartes de paiement.
Nous ne parlerons que des 2 premiers dans la suite de l’article.
Note : PCI SSC dispense aussi des formations, appelées ISA (Internal Security Assessor), afin de sensibiliser les acteurs et les aider à renforcer leur sécurité par l’application des standards de sécurité PCI.
Les standards PCI
Sécurisation des données (PCI – Data Security Standard)
PCI-DSS est un standard listant des points de contrôles pour assurer la sécurisation des données du porteur de la carte. PCI-DSS, qui en est actuellement à sa version 3 (la version 3.1 sera applicable mi-2016) donne un peu moins de 300 exigences réparties en 12 chapitres. Ce sont essentiellement des règles de bons sens dont beaucoup sont communes avec d’autres standards comme les ISO 27001 et 27002. Ces exigences couvrent aussi bien des aspects organisationnels (processus RH, etc.), informatiques (revue des règles de firewall, etc.) et bien sûr monétiques (non-stockage du cryptogramme visuel, etc.).
Tant de choses sont à dire sur ce standard qu’un article y est dédié.
Sécurisation des données pour les applications de paiement (PCI – Payment Application Data Security Standard)
PA-DSS est un standard listant les bonnes pratiques afin de concevoir une application sécurisée (non-stockage de certaines données comme le cryptogramme visuel, le PIN, etc.). Une application de paiement doit être conforme PA-DSS lorsqu’elle est destinée à des acteurs externes. Autrement dit, si cette application est développée pour des besoins internes, elle ne nécessite pas la mise en conformité au standard PA-DSS ; le standard PCI-DSS s’appliquant déjà.
Ce standard découle directement de PCI-DSS. L’éditeur ne doit en effet pas concevoir une application qui entraverait la mise en conformité à PCI-DSS pour quiconque l’utiliserait au sein de son organisation.
Les auditeurs PCI
Comme leur nom l’indique, les auditeurs PCI auditent les organisations ayant fait le nécessaire afin d’être conforme aux standards PCI. Ce sont eux qui signent et qui mettent leur responsabilité en jeu comme quoi les exigences sont respectées. Ils sont appelés QSA et spécialisés pour un standard PCI.
QSA (Qualified Security Assessor)
Dès lors qu’un acquéreur impose à son commerçant d’être conforme PCI-DSS, ce dernier devra respecter l’ensemble des exigences applicables du référentiel PCI-DSS. Pour les commerçants les plus sensibles (ayant déjà été victimes d’un piratage ou générant plus de 6 millions de transactions), ils devront se faire contrôler par un auditeur PCI, appelé QSA.
Les QSA sont désignés par le PCI SSC et sont habilités à réaliser les audits de sécurité sur site en vue d’une obtention ou d’un maintien à la conformité PCI-DSS. Une fois l’audit terminé, les QSA rédigent un rapport d’audit appelé ROC (Report On Compliance).
Au-delà du rôle d’auditeur, les QSA peuvent aussi accompagner l’organisation en vue de la conformité PCI-DSS.
PA-QSA (Payment Application – QSA)
À l’instar des QSA pour le PCI-DSS, les PA-QSA sont des QSA pour le PA-DSS. Ce sont donc eux qui réaliseront les audits d’application de paiement.
Note : pour être plus précis, les auditeurs PCI sont habilités à auditer une organisation s’ils sont certifiés QSA (resp. PA-QSA) et qu’ils appartiennent à une entreprise elle-même certifiée QSA (resp. PA-QSA).
Les livrables PCI
En vue de l’obtention ou du maintien de la conformité, plusieurs livrables devront être rédigés :
- ROC ou SAQ, AOC pour le standard PCI-DSS
- ROV, AOV pour le standard PA-DSS
ROC (Report On Compliance)
À la fin d’un audit PCI-DSS, le QSA rédige un rapport appelé ROC dans le monde PCI. Ce ROC est un document relativement long à remplir et indique toutes les exigences satisfaites par l’audité, preuve à l’appui.
SAQ (Self-Assessment Questionnaire)
Pour les commerçants moins critiques, ils peuvent remplir un simple questionnaire d’auto-évaluation (SAQ). Il existe 5 questionnaires dépendant de l’activité du commerçant (commerce en ligne, prise des empreintes de cartes sans stockage, …).
AOC (Attestation Of Compliance)
L’AOC dans le monde PCI est le document où le commerçant atteste que son SAQ dans le cas où le QSA n’était pas requis ou que le QSA et le commerçant attestent que le ROC est rempli honnêtement en connaissance du PCI ainsi que d’autres clauses.
C’est aussi dans l’AOC que sera précisé le nom de la société qui a effectué le scan de vulnérabilité.
ROV (Report On Validation)
Pour attester de la conformité PA-DSS, le PA-QSA rédige un ROV. Ce document spécifie toutes les exigences satisfaites par l’application, preuve à l’appui.
AOV (Attestation Of Validation)
L’AOV est le document où le QSA et le commerçant attestent que le ROV est rempli honnêtement en connaissance du PCI ainsi que d’autres clauses.
Les scans de vulnérabilité
Un dernier acteur est fréquemment rencontré pour être conforme à PCI-DSS. Il s’agit de l’ASV.
ASV (Approved Security Vendor)
Les ASV sont des organisations, désignés par le PCI SSC, habilités à réaliser les scans de vulnérabilité à travers Internet afin d’être ou de rester conforme à PCI-DSS. Les entreprises devant se faire auditer peuvent choisir les ASV parmi la liste officielle.
J’espère qu’après la lecture de cet article, vous y verrez plus clairs sur le rôle joué par PCI SSC dans le milieu de la monétique. À noter que, si le respect des standards PCI est un bon début en matière de sécurité, ils ne sont pas la panacée. En effet, les standards PCI et particulièrement PCI-DSS ont pour but de limiter la fuite massive de données bancaires dans la nature. Il convient donc de renforcer ces standards à coup de normes plus complètes comme la série des ISO 2700x.
Monétique 