Les standards de sécurité PCI 1.2 sur les cartes bancaires adoptés - Actualités CSO Documentation

Les standards de sécurité PCI 1.2 sur les cartes bancaires adoptés

le 08/10/2008, par Jean Pierre Blettner avec IDG News Service, Documentation, 636 mots

Les standards de sécurité PCI 1.2 sur les cartes bancaires adoptés

Le nouveau cadre PCI 1.2 clarifie les dispositifs à déployer pour protéger les porteurs de cartes bancaires. En 2009, une sécurisation par chiffrement de bout en bout et la virtualisation sont au programme. . L'organisation PCISC (Payment Card Industry Security Standards Council) qui fixe les règles techniques pour les traitements des cartes bancaires dans les systèmes électroniques a publié la semaine dernière les règles de sécurité révisées, la version PCI 1.2 de son cadre de sécurisation des paiements par carte. L'organisation indique qu'en 2009, le focus ira sur de nouvelles règles pour du chiffrement de bout en bout, les machines de paiement (type DAB) et la virtualisation. La nouvelle version de PCI 1.2 fixe quelques règles : - L'usage du WEP est interdit pour le déploiement de nouveaux réseaux sans fil après le 31 mars 2009. La norme WPA est préconisée à sa place, - Il est interdit d'utiliser le WEP dans les réseaux sans fil actuels après le 30 juin 2010 - Les modifications de code dans les applications internes doivent être validées par des personnes qualifiées différentes de celles qui ont réalisé la programmation - Une clarification concerne l'obligation d'IDS (Intrusion Detection System) versus IPS (Intrusion Prevention System) : le monitoring ne concerne plus « tout le trafic réseau » mais uniquement « tout le trafic concernant les données liées au détenteur de carte ». - Lorsqu'un support électronique est détruit, les données concernant le porteur de carte doivent être rendues irrécupérables, ce qui peut être réalisé via un programme d'effacement sécurisé ou par une destruction physique. Le standard PCI 1.2 cherche à clarifier ... ... certains points de PCI 1.1 qui avaient semé la confusion. Entre autres points, PCI 1.2 indique que chaque système d'exploitation intervenant dans le traitement des cartes bancaires doit être protégé par un logiciel anti-virus, alors que beaucoup pensait que c'était uniquement Windows qui était concerné. Les systèmes Unix, Linux et Mac sont donc dans la boucle. Conséquence : cela va être coûteux de mettre à niveau tous les systèmes d'exploitation dans le cadre de PCI 1.2 Un des sujets importants de débat parmi les instances de l'organisation a été de savoir ce que signifie « segmentation du réseau », étant donné que l'objectif de PCI est de mettre au point des méthodes permettant de boucler les lieux où se trouvent les données liées aux cartes. Ce sont les zones spécifiques du réseau du marchand où se trouvent les données liées au porteur de carte qui doivent alors être évaluées selon leur conformité au standard PCI. La ligne de conduite est désormais d'employer des pare-feux afin de restreindre les accès. Le standard PCI 1.2 conseille l'usage de « pare-feux internes, de routeurs avec un contrôle d'accès renforcé » et d'autres technologies de restriction des accès au réseau, afin de réaliser une segmentation interne, pour le traitement ... ... des cartes. Il peut être difficile d'isoler le réseau afin de protéger des serveurs spécifiques et les applications associées aux cartes bancaires, d'en effectuer le monitoring et d'en enregistrer tout l' historique, selon le cadre PCI 1.2. Cela risque d'aboutir à beaucoup d'informations à conserver et à analyser. Reste qu'il n'y a guère le choix si l'on veut réussir l'audit PCI. Ceci dit, encore plus de changements sont prévus pour 2009. Des guides de sécurité sont en cours de développement pour les terminaux de paiement sans surveillance, dont les distributeurs automatiques bancaires (DAB), et tout autre type de machines qui traitent des cartes de paiement. Les discussions pour l'année prochaine vont concerner notamment comment le chiffrement devrait être utilisé dans les DAB pour traiter les codes secrets PIN (Personal Identification Number). Le chiffrement de bout en bout devrait être un centre d'intérêt majeur de l'organisation en charge de la standardisation. Le chiffrement actuellement est requis en dehors du réseau, mais pas à l'intérieur. Autre point à traiter, pour l'organisme, la montée en puissance des serveurs virtuels. Pour l'heure la protection de ces nouvelles machines échappe encore au cadre de PCI DSS.

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Le marché de la sécurité ne connait pas la crise

Les ventes de solutions de sécurité informatiques devraient croître de plus de 7% par an entre 2012 et 2017 pour atteindre à cette date les 30 Md$, prévoit le cabinet d'étude Canalys. La sécurité fait figure...

le 14/08/2013, par Fabrice Alessi, 345 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »