Atteindre et maintenir la conformité à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) constitue un défi de taille pour les hôtels, car ils gèrent de nombreuses analyses de rentabilisation complexes en matière de paiement. Par exemple, considérons les nombreuses nouvelles options et services de réservation pour améliorer l’expérience du client pendant le processus de réservation et son séjour. En outre, les paiements par carte de débit et de crédit représentent 80 % des méthodes de paiement des clients du secteur, et il peut être difficile de maîtriser et de protéger le flux de données de paiement circulant dans l’entreprise. L’application d’une approche de sécurité bien définie ou planifiée peut aider à doter votre organisation des outils et des connaissances nécessaires pour répondre aux exigences PCI DSS tout en élaborant un programme de conformité PCI durable. Cette approche devrait contribuer à une transition réussie vers la version 4.0 de PCI DSS afin de respecter la date limite du 31 mars 2024, date à laquelle la version 3.2.1 est sur le point d’expirer.
Connaissez-vous tous vos canaux de paiement et flux de cartes bancaires ?
Compte tenu de la complexité des cas d’utilisation des cartes de débit et de crédit dans le secteur hôtelier, trouver la bonne approche pour la transition vers la norme PCI DSS v4.0 peut être difficile pour un secteur qui doit faire face aux changements du niveau de l’entreprise au niveau de la franchise en temps opportun.
La complexité s’est accrue avec l’introduction des smartphones et des portefeuilles numériques ainsi qu’avec la réduction significative des paiements en espèces en personne. Par exemple, en France, 60 % des paiements sont effectués par carte de débit ou de crédit.[1]. En effet, les clients de l’hôtel peuvent désormais réserver leur séjour via le site internet de l’entreprise, des agences de voyages en ligne, comme www.booking.com ou www.expedia.com, ou des applications hôtelières sur leur smartphone – en complément des paiements traditionnels sur le terminal de paiement situé à la réception de l’hôtel. De nouveaux canaux de paiement numériques sont également disponibles pour les clients pendant leur séjour : ils peuvent réserver un taxi juste après avoir sélectionné et payé le menu du déjeuner avec l’application de l’hôtel ou des applications gérées par des tiers telles que www.karhoo.com ou www.resdiary.com. Ces évolutions des paiements impactant le secteur hôtelier nécessitent des étapes spéciales de conformité à la norme PCI DSS v4.0.
Quatre étapes recommandées dans la transition vers PCI DSS v4.0
Étape 1: Localiser, identifier et documenter tous les flux de cartes de crédit dans l’organisation, comme indiqué par les exigences suivantes applicables à toutes les entités soumises à la conformité de sécurité PCI :
1.2.4 Un ou plusieurs diagrammes de flux de données précis sont conservés et répondent aux critères suivants :
• Affiche tous les flux de données de compte à travers les systèmes et les réseaux.
• Mis à jour au besoin en fonction des changements apportés à l’environnement.
12.5.1 Un inventaire des composants du système qui entrent dans le champ d’application de la norme PCI DSS, y compris une description de la fonction/utilisation, est tenu à jour et tenu à jour.
12.5.2 Le champ d’application de la norme PCI DSS est documenté et confirmé par l’entité au moins une fois tous les 12 mois et en cas de changement significatif dans l’environnement concerné.
(Voir le Exigences et procédures de test du Conseil des normes de sécurité PCI (SSC)version 4.0 mars 2022.)
Étape 2: En tant qu’organisation soumise à la conformité PCI DSS, l’étape 2 de votre projet de conformité consiste à préparer la mise à jour dès que possible en connaissant votre statut et votre niveau de conformité, et à sélectionner la date de votre prochaine évaluation.
La conformité à la norme PCI DSS démontre aux clients et aux tiers que les contrôles de sécurité requis par les normes PCI sont en place afin de protéger leurs données confidentielles et d’atténuer le risque de violation des données de carte de crédit. Les contrôles de sécurité requis comprennent, sans s’y limiter, la politique de sécurité et la documentation des processus, le stockage et la transmission sécurisés des données, la sécurité du développement et des applications, le contrôle d’accès, l’isolation du réseau, ainsi que les fournisseurs de services et la gestion tierce.
Votre organisation est probablement confrontée à l’un des deux choix suivants : soit maintenir votre conformité de sécurité PCI actuelle tout en mettant en œuvre les nouvelles exigences applicables, soit investir dans un nouveau projet et mettre en œuvre toutes les exigences de sécurité PCI de PCI DSS v4.0. Différentes FAQ disponibles sur le Site Web PCI SSC peut vous aider à faire face à ce grand changement : s’il s’agit de votre évaluation initiale PCI DSS, telle que définie dans la norme PCI SSC FAQ 1485, votre « entité n’a jamais fait l’objet d’une évaluation PCI DSS préalable ayant abouti à la soumission d’un document de validation de conformité ». Dans ce cas, « les exigences PCI DSS devraient être en place au moment de l’évaluation ». Si vous êtes déjà conforme à la sécurité PCI, toutes les exigences attendues devraient être en place à la date de votre prochaine évaluation. En effet, selon Foire aux questions 1328, après le 31 mars 2024, PCI DSS v4.0 sera la seule version active. Notez que votre certification actuelle n’expirera pas début avril, conformément à PCI SSC. Foire aux questions 1565.
Comprenez pourquoi la conformité est cruciale pour votre entreprise et ses parties prenantes afin de déterminer le bon parrainage et l’allocation des ressources pour votre projet. Dans le secteur hôtelier, les hôtels sont soit des sociétés, soit des franchises. Cette situation crée de la complexité puisque, pour les clients, la personne morale est également responsable des données de carte de paiement traitées par l’organisme de franchise. Un facteur clé de succès dans ce type de grande organisation est de mettre en œuvre le bon modèle de gouvernance en attribuant des rôles et des responsabilités clairs pour la mise en œuvre et le maintien des exigences. Cette approche est non seulement une bonne pratique mais également une exigence puisque la nouvelle version de la norme met l’accent sur les processus conformes au statu quo, comme indiqué dans le Exigences et procédures de test de la norme de sécurité des données de l’industrie des cartes de paiement, version 4.0, mars 2022 :
12.1 Une politique complète de sécurité de l’information qui régit et fournit des orientations pour la protection des actifs informationnels de l’entité est connue et à jour.
12.4 La conformité PCI DSS est gérée.
12.4.1 Exigence supplémentaire pour les prestataires de services uniquement :
La responsabilité est établie par la direction exécutive pour la protection des données des titulaires de carte et un programme de conformité PCI DSS pour inclure :
• Responsabilité globale du maintien de la conformité PCI DSS.
• Définition d’une charte d’un programme de conformité PCI DSS et communication à la direction générale.
Étape 3: Officiellement l’attribution des rôles et des responsabilités est l’étape 3 du projet de conformité de sécurité, avec un responsable de la conformité de sécurité PCI en charge de la coordination et du suivi de toutes les tâches requises. Les clients de ce secteur occupent souvent un poste de responsable de la conformité de la sécurité PCI au niveau de l’entreprise, soutenu par des contacts PCI locaux chargés de coordonner la mise en œuvre locale du Programme de conformité de sécurité PCI.
L’industrie hôtelière s’appuie beaucoup sur les fournisseurs de services de systèmes de paiement et de gestion immobilière, les fournisseurs de services d’infrastructure informatique et les fournisseurs de cloud afin de maintenir et de fournir des canaux de paiement. Il est important de définir la responsabilité de chaque partie pour la mise en œuvre de chaque exigence par le biais d’un contrat signé. Les exigences 12.8.2 et 12.8.5 de la norme soutiennent clairement cette approche, puisque des accords écrits sont obligatoires ainsi qu’une matrice de responsabilité :
12.8.2 Ententes écrites avec les TPSP [third-party service providers] sont maintenus comme suit :
• … avec tous les TPSP avec lesquels les données des comptes sont partagées ou qui pourraient affecter la sécurité du CDE [cardholder data environment].
• … des reconnaissances des TPSP selon lesquelles ils sont responsables de la sécurité des données de compte que les TPSP possèdent ou stockent, traitent ou transmettent de toute autre manière au nom de l’entité, ou dans la mesure où elles pourraient avoir un impact sur la sécurité du CDE de l’entité.
12.8.5 Des informations sont conservées sur les exigences PCI DSS gérées par chaque TPSP, celles gérées par l’entité et celles qui sont partagées entre le TPSP et l’entité.
Dans le secteur hôtelier, les franchises sont souvent considérées comme des prestataires de services tiers. Le propriétaire immobilier utilisant la marque du franchiseur doit également participer au programme de conformité du franchiseur et démontrer sa conformité. Cela pourrait être réalisé grâce à une documentation de conformité appropriée en fonction du nombre de transactions par carte traitées localement. Le document de conformité peut être soit un rapport de conformité (ROC), soit le questionnaire d’auto-évaluation (SAQ) approprié. La gestion appropriée de la relation avec les prestataires de services est très importante ; cela représente une énorme charge de travail qui doit être effectuée avec diligence.
PCI DSS v4.0 présente de nombreux défis techniques. Il est important de les comprendre et de connaître ceux qui sont applicables à votre environnement. Explorons quelques exemples :
Technologie d’authentification multifacteur (MFA) Exigence 8.4.2
MFA est implémenté pour tous les accès au CDE.
Les technologies d’authentification multifactorielle sont désormais obligatoires pour tout le personnel ayant accès à l’environnement des cartes de crédit. Cette exigence constitue un défi en raison du nombre d’agents de la réception ayant accès aux données des cartes de crédit sur les systèmes de réservation. Cette exigence a également un impact sur le système de gestion immobilière (PMS) utilisé pour gérer les paiements à la réception. La mise en œuvre de cette fonctionnalité peut être tout un défi si elle n’est pas prise en charge par le PMS utilisé dans l’hôtel. De nombreux hôtels utilisent Opera PMS, Sihot PMS ou certains Cloud PMS.
Sécurité des scripts des pages de paiement Exigence 6.4.3
Tous les scripts de page de paiement chargés et exécutés dans le navigateur du consommateur sont gérés comme suit :
• Une méthode est mise en place pour confirmer que chaque script est autorisé.
• Une méthode est mise en œuvre pour assurer l’intégrité de chaque script.
• Un inventaire de tous les scripts est tenu avec une justification écrite expliquant pourquoi chacun est nécessaire.
La solution appropriée doit être utilisée afin d’identifier, lister et protéger tous les scripts utilisés sur les différentes pages de paiement dans l’environnement commercial.
Étape 4: Connaissez et comprenez votre l’environnement technique et les défis auxquels votre organisation sera confrontée afin de mettre en œuvre les nouvelles exigences applicables.
Conclusion
Les hôtels font actuellement l’objet d’une transformation majeure, et pas seulement au niveau de la décoration des chambres. Les nouveaux modèles de paiement remettent en question la conformité PCI DSS de nouvelles manières. Les organisations suivent un voyage dans lequel il est important de connaître clairement le point de départ et la destination. La version 4.0 de PCI DSS apporte des solutions mais aussi de nombreux défis qui nécessitent que votre organisation identifie les principales préoccupations ainsi que les moyens appropriés pour les résoudre. Décomposer les problèmes complexes en problèmes plus petits et gérables est la meilleure approche pour de tels projets. Avoir une méthodologie étape par étape est essentiel pour réussir la mise en œuvre des nouvelles exigences dans votre organisation.
Commencez par comprendre toutes les analyses de rentabilisation et les flux de paiement de votre organisation. La deuxième étape du parcours consiste à connaître votre statut actuel de conformité en matière de sécurité PCI et à planifier la prochaine évaluation. Puis, formellement attribuer les rôles et responsabilités à un responsable de la conformité de sécurité PCI chargé de la coordination et du suivi de toutes les tâches requises. Enfin, mettez en place une organisation et un programme de conformité avant d’entreprendre tous les challenges techniques liés à votre environnement informatique. En savoir plus sur les évaluations PCI de Verizon ici.
[1]https://www.banque-france.fr/system/files/2023-08/Banque_de_France%20-%20Strat%C3%A9gie_mon%C3%A9taire%20-%20rapport_annuel_de_lobservatoire_de_la_securite_des_moyens_de_paiement_2022.pdf
O’Pa-Gnou Félix Grebet est consultant senior, PCI QSA, CISM, CISA chez Verizon Cyber Security Consulting, France.
janvier 9, 2024
Comment acquérir une réputation de sécurité cinq étoiles dans le secteur de l’hôtellerie
Atteindre et maintenir la conformité à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) constitue un défi de taille pour les hôtels, car ils gèrent de nombreuses analyses de rentabilisation complexes en matière de paiement. Par exemple, considérons les nombreuses nouvelles options et services de réservation pour améliorer l’expérience du client pendant le processus de réservation et son séjour. En outre, les paiements par carte de débit et de crédit représentent 80 % des méthodes de paiement des clients du secteur, et il peut être difficile de maîtriser et de protéger le flux de données de paiement circulant dans l’entreprise. L’application d’une approche de sécurité bien définie ou planifiée peut aider à doter votre organisation des outils et des connaissances nécessaires pour répondre aux exigences PCI DSS tout en élaborant un programme de conformité PCI durable. Cette approche devrait contribuer à une transition réussie vers la version 4.0 de PCI DSS afin de respecter la date limite du 31 mars 2024, date à laquelle la version 3.2.1 est sur le point d’expirer.
Connaissez-vous tous vos canaux de paiement et flux de cartes bancaires ?
Compte tenu de la complexité des cas d’utilisation des cartes de débit et de crédit dans le secteur hôtelier, trouver la bonne approche pour la transition vers la norme PCI DSS v4.0 peut être difficile pour un secteur qui doit faire face aux changements du niveau de l’entreprise au niveau de la franchise en temps opportun.
La complexité s’est accrue avec l’introduction des smartphones et des portefeuilles numériques ainsi qu’avec la réduction significative des paiements en espèces en personne. Par exemple, en France, 60 % des paiements sont effectués par carte de débit ou de crédit.[1]. En effet, les clients de l’hôtel peuvent désormais réserver leur séjour via le site internet de l’entreprise, des agences de voyages en ligne, comme www.booking.com ou www.expedia.com, ou des applications hôtelières sur leur smartphone – en complément des paiements traditionnels sur le terminal de paiement situé à la réception de l’hôtel. De nouveaux canaux de paiement numériques sont également disponibles pour les clients pendant leur séjour : ils peuvent réserver un taxi juste après avoir sélectionné et payé le menu du déjeuner avec l’application de l’hôtel ou des applications gérées par des tiers telles que www.karhoo.com ou www.resdiary.com. Ces évolutions des paiements impactant le secteur hôtelier nécessitent des étapes spéciales de conformité à la norme PCI DSS v4.0.
Quatre étapes recommandées dans la transition vers PCI DSS v4.0
Étape 1: Localiser, identifier et documenter tous les flux de cartes de crédit dans l’organisation, comme indiqué par les exigences suivantes applicables à toutes les entités soumises à la conformité de sécurité PCI :
1.2.4 Un ou plusieurs diagrammes de flux de données précis sont conservés et répondent aux critères suivants :
• Affiche tous les flux de données de compte à travers les systèmes et les réseaux.
• Mis à jour au besoin en fonction des changements apportés à l’environnement.
12.5.1 Un inventaire des composants du système qui entrent dans le champ d’application de la norme PCI DSS, y compris une description de la fonction/utilisation, est tenu à jour et tenu à jour.
12.5.2 Le champ d’application de la norme PCI DSS est documenté et confirmé par l’entité au moins une fois tous les 12 mois et en cas de changement significatif dans l’environnement concerné.
(Voir le Exigences et procédures de test du Conseil des normes de sécurité PCI (SSC)version 4.0 mars 2022.)
Étape 2: En tant qu’organisation soumise à la conformité PCI DSS, l’étape 2 de votre projet de conformité consiste à préparer la mise à jour dès que possible en connaissant votre statut et votre niveau de conformité, et à sélectionner la date de votre prochaine évaluation.
La conformité à la norme PCI DSS démontre aux clients et aux tiers que les contrôles de sécurité requis par les normes PCI sont en place afin de protéger leurs données confidentielles et d’atténuer le risque de violation des données de carte de crédit. Les contrôles de sécurité requis comprennent, sans s’y limiter, la politique de sécurité et la documentation des processus, le stockage et la transmission sécurisés des données, la sécurité du développement et des applications, le contrôle d’accès, l’isolation du réseau, ainsi que les fournisseurs de services et la gestion tierce.
Votre organisation est probablement confrontée à l’un des deux choix suivants : soit maintenir votre conformité de sécurité PCI actuelle tout en mettant en œuvre les nouvelles exigences applicables, soit investir dans un nouveau projet et mettre en œuvre toutes les exigences de sécurité PCI de PCI DSS v4.0. Différentes FAQ disponibles sur le Site Web PCI SSC peut vous aider à faire face à ce grand changement : s’il s’agit de votre évaluation initiale PCI DSS, telle que définie dans la norme PCI SSC FAQ 1485, votre « entité n’a jamais fait l’objet d’une évaluation PCI DSS préalable ayant abouti à la soumission d’un document de validation de conformité ». Dans ce cas, « les exigences PCI DSS devraient être en place au moment de l’évaluation ». Si vous êtes déjà conforme à la sécurité PCI, toutes les exigences attendues devraient être en place à la date de votre prochaine évaluation. En effet, selon Foire aux questions 1328, après le 31 mars 2024, PCI DSS v4.0 sera la seule version active. Notez que votre certification actuelle n’expirera pas début avril, conformément à PCI SSC. Foire aux questions 1565.
Comprenez pourquoi la conformité est cruciale pour votre entreprise et ses parties prenantes afin de déterminer le bon parrainage et l’allocation des ressources pour votre projet. Dans le secteur hôtelier, les hôtels sont soit des sociétés, soit des franchises. Cette situation crée de la complexité puisque, pour les clients, la personne morale est également responsable des données de carte de paiement traitées par l’organisme de franchise. Un facteur clé de succès dans ce type de grande organisation est de mettre en œuvre le bon modèle de gouvernance en attribuant des rôles et des responsabilités clairs pour la mise en œuvre et le maintien des exigences. Cette approche est non seulement une bonne pratique mais également une exigence puisque la nouvelle version de la norme met l’accent sur les processus conformes au statu quo, comme indiqué dans le Exigences et procédures de test de la norme de sécurité des données de l’industrie des cartes de paiement, version 4.0, mars 2022 :
12.1 Une politique complète de sécurité de l’information qui régit et fournit des orientations pour la protection des actifs informationnels de l’entité est connue et à jour.
12.4 La conformité PCI DSS est gérée.
12.4.1 Exigence supplémentaire pour les prestataires de services uniquement :
La responsabilité est établie par la direction exécutive pour la protection des données des titulaires de carte et un programme de conformité PCI DSS pour inclure :
• Responsabilité globale du maintien de la conformité PCI DSS.
• Définition d’une charte d’un programme de conformité PCI DSS et communication à la direction générale.
Étape 3: Officiellement l’attribution des rôles et des responsabilités est l’étape 3 du projet de conformité de sécurité, avec un responsable de la conformité de sécurité PCI en charge de la coordination et du suivi de toutes les tâches requises. Les clients de ce secteur occupent souvent un poste de responsable de la conformité de la sécurité PCI au niveau de l’entreprise, soutenu par des contacts PCI locaux chargés de coordonner la mise en œuvre locale du Programme de conformité de sécurité PCI.
L’industrie hôtelière s’appuie beaucoup sur les fournisseurs de services de systèmes de paiement et de gestion immobilière, les fournisseurs de services d’infrastructure informatique et les fournisseurs de cloud afin de maintenir et de fournir des canaux de paiement. Il est important de définir la responsabilité de chaque partie pour la mise en œuvre de chaque exigence par le biais d’un contrat signé. Les exigences 12.8.2 et 12.8.5 de la norme soutiennent clairement cette approche, puisque des accords écrits sont obligatoires ainsi qu’une matrice de responsabilité :
12.8.2 Ententes écrites avec les TPSP [third-party service providers] sont maintenus comme suit :
• … avec tous les TPSP avec lesquels les données des comptes sont partagées ou qui pourraient affecter la sécurité du CDE [cardholder data environment].
• … des reconnaissances des TPSP selon lesquelles ils sont responsables de la sécurité des données de compte que les TPSP possèdent ou stockent, traitent ou transmettent de toute autre manière au nom de l’entité, ou dans la mesure où elles pourraient avoir un impact sur la sécurité du CDE de l’entité.
12.8.5 Des informations sont conservées sur les exigences PCI DSS gérées par chaque TPSP, celles gérées par l’entité et celles qui sont partagées entre le TPSP et l’entité.
Dans le secteur hôtelier, les franchises sont souvent considérées comme des prestataires de services tiers. Le propriétaire immobilier utilisant la marque du franchiseur doit également participer au programme de conformité du franchiseur et démontrer sa conformité. Cela pourrait être réalisé grâce à une documentation de conformité appropriée en fonction du nombre de transactions par carte traitées localement. Le document de conformité peut être soit un rapport de conformité (ROC), soit le questionnaire d’auto-évaluation (SAQ) approprié. La gestion appropriée de la relation avec les prestataires de services est très importante ; cela représente une énorme charge de travail qui doit être effectuée avec diligence.
PCI DSS v4.0 présente de nombreux défis techniques. Il est important de les comprendre et de connaître ceux qui sont applicables à votre environnement. Explorons quelques exemples :
Technologie d’authentification multifacteur (MFA) Exigence 8.4.2
MFA est implémenté pour tous les accès au CDE.
Les technologies d’authentification multifactorielle sont désormais obligatoires pour tout le personnel ayant accès à l’environnement des cartes de crédit. Cette exigence constitue un défi en raison du nombre d’agents de la réception ayant accès aux données des cartes de crédit sur les systèmes de réservation. Cette exigence a également un impact sur le système de gestion immobilière (PMS) utilisé pour gérer les paiements à la réception. La mise en œuvre de cette fonctionnalité peut être tout un défi si elle n’est pas prise en charge par le PMS utilisé dans l’hôtel. De nombreux hôtels utilisent Opera PMS, Sihot PMS ou certains Cloud PMS.
Sécurité des scripts des pages de paiement Exigence 6.4.3
Tous les scripts de page de paiement chargés et exécutés dans le navigateur du consommateur sont gérés comme suit :
• Une méthode est mise en place pour confirmer que chaque script est autorisé.
• Une méthode est mise en œuvre pour assurer l’intégrité de chaque script.
• Un inventaire de tous les scripts est tenu avec une justification écrite expliquant pourquoi chacun est nécessaire.
La solution appropriée doit être utilisée afin d’identifier, lister et protéger tous les scripts utilisés sur les différentes pages de paiement dans l’environnement commercial.
Étape 4: Connaissez et comprenez votre l’environnement technique et les défis auxquels votre organisation sera confrontée afin de mettre en œuvre les nouvelles exigences applicables.
Conclusion
Les hôtels font actuellement l’objet d’une transformation majeure, et pas seulement au niveau de la décoration des chambres. Les nouveaux modèles de paiement remettent en question la conformité PCI DSS de nouvelles manières. Les organisations suivent un voyage dans lequel il est important de connaître clairement le point de départ et la destination. La version 4.0 de PCI DSS apporte des solutions mais aussi de nombreux défis qui nécessitent que votre organisation identifie les principales préoccupations ainsi que les moyens appropriés pour les résoudre. Décomposer les problèmes complexes en problèmes plus petits et gérables est la meilleure approche pour de tels projets. Avoir une méthodologie étape par étape est essentiel pour réussir la mise en œuvre des nouvelles exigences dans votre organisation.
Commencez par comprendre toutes les analyses de rentabilisation et les flux de paiement de votre organisation. La deuxième étape du parcours consiste à connaître votre statut actuel de conformité en matière de sécurité PCI et à planifier la prochaine évaluation. Puis, formellement attribuer les rôles et responsabilités à un responsable de la conformité de sécurité PCI chargé de la coordination et du suivi de toutes les tâches requises. Enfin, mettez en place une organisation et un programme de conformité avant d’entreprendre tous les challenges techniques liés à votre environnement informatique. En savoir plus sur les évaluations PCI de Verizon ici.
[1]https://www.banque-france.fr/system/files/2023-08/Banque_de_France%20-%20Strat%C3%A9gie_mon%C3%A9taire%20-%20rapport_annuel_de_lobservatoire_de_la_securite_des_moyens_de_paiement_2022.pdf
O’Pa-Gnou Félix Grebet est consultant senior, PCI QSA, CISM, CISA chez Verizon Cyber Security Consulting, France.
Source link
Partager :
Articles similaires