7 principaux changements sont apparus dans cette nouvelle version de la norme PCI DSS tels que la non divulgation des adresses IP privées ni le routage des informations à des tiers non autorisés, l’obligation de mettre en œuvre des processus pour identifier et attribuer un taux de risque face aux nouvelles failles de sécurité récemment découvertes. Il y a aussi quelques clarifications mineures qui viennent compléter les exigences existantes, dont certaines sont très importantes. Désormais, par exemple, si une entreprise stocke un numéro de compte client (PAN) sur une carte de crédit, celui-ci doit être illisible. Tous ces changements ont un seul but : protéger les données des clients.

Pour les entreprises, les directives de l’Union Européenne sur la confidentialité des données et des utilisateurs et les réglementations sur les communications électroniques sont des points clés à respecter. Les législateurs vont en effet faire pression sur les entreprises en augmentant les sanctions contre les infractions. Les entreprises devront donc être plus proactives dans la surveillance de leurs données utilisateurs, mettre en place davantage de contrôles de sécurité, et suivre plus rigoureusement les processus afin d’être en conformité avec les différentes réglementations existantes et futures.

Ces changements requièrent beaucoup de temps pour pouvoir être mises en place mais les entreprises qui remettront à plus tard cette échéance risquent de véritables sanctions. Les entreprises doivent donc adapter leur sécurité aux nouvelles exigences de la norme PCI DSS 2.0 pour être rapidement en conformité.