En France, début 2009, les acteurs bancaires ont clairement annoncé leur soutien au
standard PCI DSS. Si les échéances données par les organismes cartes concernant la
conformité sont échues, l’application des pénalités est envisagée au cas par cas dans les
relations contractuelles entre les différents acteurs. A titre indicatif, les pénalités annoncées
par VISA Inc. sont de l’ordre de 25 000 $ mensuels en cas de non-conformité et de
500 000 $ d’amende en cas de compromission avérée.
Visa, MasterCard, American Express, Discover et JCB ont fondé en 2006 le Payment Card
Industry Security Standards Council (PCI SSC) avec pour objectif de définir un référentiel
de sécurisation des données carte bancaires s’appuyant sur des bonnes pratiques :
PCI DSS. Ce référentiel est obligatoire pour les sites Internet des sociétés dont les activités
impliquent l’existence, le traitement ou le stockage de données de transactions bancaires.

Evolutions et impacts majeurs de la version 2.0

Une nouvelle version des standards PCI DSS et PA-DSS, relatifs à la sécurité des données
cartes bancaires, est publiée périodiquement afin de prendre en compte les évolutions des
menaces, de l’état de l’art en sécurité et de la réglementation applicable au secteur. Les
versions 2.0 des standards PCI DSS et PA-DSS ont été fin 2010.

Le groupe de travail PCI DSS du CLUSIF présente dans ce livrable son analyse des
évolutions significatives par rapport aux précédentes versions, ainsi que leurs impacts
probables pour les sociétés engagées dans une démarche de mise en conformité.

La nouvelle version 2.0 arrive avec un nouveau cycle de vie du standard, passant de 3 ans
au lieu de 2 ans. Ce nouveau cycle précise que le standard sera incrémenté d’une version
majeure tous les 3 ans.

La plupart de ces mises à jours sont des clarifications qui ne devraient pas impliquer de
nouveaux challenges aux acteurs soumis à ce standard. Cette nouvelle version de PCI
DSS, plus mature, devient de plus en plus le référentiel en matière de gestion de
données sensibles, si bien qu’il est de plus en plus utilisé même au delà des entités qui y
sont directement soumises.

Parmi les nouveautés de la version 2.0, voici quelques éléments clés :
– précision que le standard s’applique à la fonction "émission"
– prise en compte de la virtualisation
– prise en compte d’une approche de gestion du risque pour la mise en application des
correctifs de sécurité
– clarification sur la non-compatibilité entre le stockage d’un hash de PAN et d’un PAN
tronqué (l’un ou l’autre mais pas les deux)
– précision sur la notion de périmètre et les méthodes de choix de l’échantillonnage
d’audit
– élargissement de l’audit de code à l’ensemble des applications et non plus aux seules
applications web
– précision en termes de gestion et de protection des clés de chiffrement
– précision sur l’authentification à deux facteurs, ceux-ci devant bien évidemment être
distincts

Ce document est téléchargeable à l’adresse suivante :

http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2010-PCIDSS-V2.0-Quels-changements.pdf

A propos du Club de la Sécurité de l’Information Français (CLUSIF)

Véritable observatoire des pratiques et des risques liés à la sécurité de l’information, le CLUSIF agit
pour sensibiliser tous les acteurs économiques et dans l’intérêt général des utilisateurs des systèmes
d’information.

Ce Club professionnel est un lieu d’échanges où secteurs public et privé, monde de l’Education, se
rencontrent et mettent en commun leurs réflexions. De nombreux travaux en sont issus, tous gratuits
et disponibles en téléchargement et certains traduits en anglais : panoramas de la cybercriminalité,
études sur les menaces informatiques et les pratiques de sécurité en France, synthèses, ouvrages de
référence, portail cybervictime, documents techniques et sur la gestion des risques.
Véritable carrefour d’échanges, le CLUSIF est ouvert à toute entreprise, de la TPE à la multinationale,
ainsi qu’aux collectivités publiques et rassemble à ce jour plus de 600 adhérents.

Le CLUSIF intervient pour l’intérêt de tous dans des contextes très ouverts incluant la sécurité des
réseaux, la lutte antivirus, les plans de continuité d’activité, la sécurité physique des centres
informatiques, la malveillance téléphonique, le management des risques, le droit, la défense de
l’information, la cybercriminalité auprès des acteurs du secteur privé, des Institutionnels, des 2ème et
3ème cycles universitaires, des Grandes Ecoles, des fédérations professionnelles... Il participe à des
travaux nationaux et internationaux avec les pouvoirs publics.