CERT-XMCO : Du nouveau annoncé pour le standard PCI
août 2010 par CERT-XMCO
* PCI standard changes ahead
– Date : 17 Aout 2010
– Gravité : Moyenne
– Description :
Le PCI SSC (PCI Security Standards Council) a récemment annoncé du renouveau pour son standard connu dans le monde de l’entreprise et de la vente en ligne.
En effet, les versions 2.0 du PCI DSS et du PA DSS introduiront quelques changements issus de plus de 400 retours des intervenants. Parmi les 12 nouveautés annoncées, on peut lister :
– l’accent mis sur l’établissement du "périmètre" préalable à la certification,
– l’amélioration de la gestion des logs,
– la validation (sous certains prérequis) d’une approche basée sur les risques dans le traitement des vulnérabilités,
– et enfin, l’alignement entre le PCI DSS et le PA DSS.
Ces nouveautés peuvent être regroupées en différentes catégories telles que les clarifications, les conseils de mise en application, et enfin les mises à jour des pré-requis vis-à-vis des évolutions dans le monde de la sécurité. Une version définitive de ces changements sera publiée le 18 octobre prochain, et prendra effet à partir du 11 janvier 2011.
Par ailleurs, le document de travail fourni ne parle pas de "Tokenization", ni de chiffrement.
Enfin, malgré le pas en avant fait avec ces changements qui montrent le côté "mature" de ce standard, le PCI SSC semble faire un pas en arrière en repoussant de 2 à 3 ans la durée entre les prochaines révisions.
– Référence :
https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf
http://www.net-security.org/secworld.php?id=9731
http://www.v3.co.uk/v3/news/2268128/pci-council-revisits-payment
http://www.bankinfosecurity.com/podcasts.php?podcastID=671
http://www.bankinfosecurity.com/articles.php?art_id=2835
http://www.bankinfosecurity.com/articles.php?art_id=2838
http://www.bankinfosecurity.com/articles.php?art_id=2841
http://www.scmagazineus.com/pci-council-unveils-expected-changes-for-dss-guidelines/article/176889/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1044