Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > PCI DSS 🟦 Norme

PCI DSS 🟦 Norme

PCI DSS (Payment Card Industry Data Security Standard) est une norme internationale de sécurité établie par le PCI Security Standards Council (PCI SSC), fondé en 2006 par American Express, Discover, JCB International, Mastercard et Visa. Elle vise à protéger les données des cartes de paiement et à renforcer la sécurité des transactions.

Cette norme s’applique à toute entité qui stocke, traite ou transmet des données de cartes de paiement, ce qui inclut :

  • Les commerçants de toutes tailles
  • Les prestataires de services de paiement
  • Les processeurs de transactions
  • Les développeurs de logiciels de paiement
  • Les prestataires de services hébergés

Elle est mise à jour régulièrement pour répondre aux menaces émergentes. Sa dernière version en date est : PCI DSS v4.0 en 2022

 

🎯 Objectifs principaux

 

1. Création et gestion d’un réseau sécurisé

  • Exigence1 : installer et gérer des systèmes de sécurité réseau et des pare-feu pour protéger les données
  • Exigence 2 : appliquer des configurations sécurisées et ne pas utiliser les paramètres par défaut fournis par les fournisseurs

2. Protection des données du titulaire

  • Exigence 3 : protéger les données stockées des titulaires de carte
  • Exigence 4 : chiffrer la transmission des données des titulaires de carte sur les réseaux ouverts et publics

3. Gestion des vulnérabilités

  • Exigence 5 : protéger tous les systèmes contre les logiciels malveillants et mettre à jour régulièrement les programmes antivirus
  • Exigence 6 : développer et maintenir des systèmes et applications sécurisés

4. Contrôle d’accès robuste

  • Exigence 7 : restreindre l’accès aux données selon le principe du « besoin d’en connaître »
  • Exigence 8 : identifier et authentifier l’accès aux composants du système
  • Exigence 9 : restreindre l’accès physique aux données des titulaires de carte

5. Surveillance et tests des réseaux

  • Exigence 10 : suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte
  • Exigence11 : tester régulièrement les systèmes et processus de sécurité

6. Politique de sécurité

  • Exigence12 : maintenir une politique abordant la sécurité de l’information pour l’ensemble du personnel

 

📝 Validation et conformité

 

La conformité à PCI DSS est validée par des audits externes pour les grandes entités ou des auto-évaluations (SAQ) pour les plus petites, selon le volume de transactions. Les organisations doivent se conformer à PCI DSS 4.0 d’ici le 31 mars 2024, avec des exigences supplémentaires à mettre en place avant le 31 mars 2025.

La non-conformité peut entraîner des amendes, des pénalités et des restrictions d’accès aux réseaux de paiement. Il est donc crucial pour les organisations de commencer à mettre en œuvre les nouvelles exigences de sécurité dès que possible pour assurer leur conformité dans les délais impartis.

 

Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité