CERT-XMCO : PCI DSS 2.0 : des avancées mineures, mais pas de gros bouleversements
novembre 2010 par CERT-XMCO
No big bang in PCI 2.0
– Date : 02 Novembre 2010
– Gravité : Moyenne
– Description :
Comme cela avait été annoncé (voir CXA-2010-1044), la version 2.0 du standard PCI-DSS vient de voir officiellement le jour.
Celle-ci deviendra officiellement applicable à partir du 1er janvier 2011. Celle-ci n’apporte pas de changement majeur dans le standard, mais plutôt des éclaircissements sur des points, qui au fil du temps, ont vu leur importance croître depuis la rédaction de l’avant-dernière version en date. Certains points comme la "périmétrisation" ou encore la virtualisation étaient en effet relativement flous pour bon nombre de spécialistes. Cette nouvelle version met aussi en avant la traçabilité avec la gestion des logs, ainsi que l’utilisation d’une approche basée sur les risques dans la phase d’étude et de priorisation, afin de s’adapter au contexte métier.
Par ailleurs, cette version est aussi l’occasion d’aligner les cycles de 3 ans de travail des standards PA-DSS et PTS sur celui du PCI-DSS. Dorénavant, il sera possible pour le PSSC (PCI Security Standards Council) de publier des mises à jour mineures dans ce laps de temps.
Dans tous les cas, les experts auraient aimé voir le sujet de la "tokenization" traité par cette nouvelle version du standard. Espérons que la prochaine version prévue normalement pour 2014 inclura les nombreux retours d’expérience des professionnels sur ce sujet...
– Référence :
http://www.net-security.org/article.php?id=1530
http://www.net-security.org/secworld.php?id=10070
https://cert.xmco.fr/veille/dev/index.xmco?nv=CXA-2010-1044
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1514