* PCI standard changes ahead

– Date : 17 Aout 2010

– Gravité : Moyenne

– Description :

Le PCI SSC (PCI Security Standards Council) a récemment annoncé du renouveau pour son standard connu dans le monde de l’entreprise et de la vente en ligne.

En effet, les versions 2.0 du PCI DSS et du PA DSS introduiront quelques changements issus de plus de 400 retours des intervenants. Parmi les 12 nouveautés annoncées, on peut lister :
– l’accent mis sur l’établissement du "périmètre" préalable à la certification,
– l’amélioration de la gestion des logs,
– la validation (sous certains prérequis) d’une approche basée sur les risques dans le traitement des vulnérabilités,
– et enfin, l’alignement entre le PCI DSS et le PA DSS.

Ces nouveautés peuvent être regroupées en différentes catégories telles que les clarifications, les conseils de mise en application, et enfin les mises à jour des pré-requis vis-à-vis des évolutions dans le monde de la sécurité. Une version définitive de ces changements sera publiée le 18 octobre prochain, et prendra effet à partir du 11 janvier 2011.

Par ailleurs, le document de travail fourni ne parle pas de "Tokenization", ni de chiffrement.

Enfin, malgré le pas en avant fait avec ces changements qui montrent le côté "mature" de ce standard, le PCI SSC semble faire un pas en arrière en repoussant de 2 à 3 ans la durée entre les prochaines révisions.

– Référence :

https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf

http://www.net-security.org/secworld.php?id=9731

http://www.v3.co.uk/v3/news/2268128/pci-council-revisits-payment

http://www.bankinfosecurity.com/podcasts.php?podcastID=671

http://www.bankinfosecurity.com/articles.php?art_id=2835

http://www.bankinfosecurity.com/articles.php?art_id=2838

http://www.bankinfosecurity.com/articles.php?art_id=2841

http://www.scmagazineus.com/pci-council-unveils-expected-changes-for-dss-guidelines/article/176889/

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1044