Conformité PCI : votre évaluateur de sécurité qualifié est-il à la hauteur ?

Dans un paysage de paiements volatil, les entreprises se préparent à l’expiration de la version 3.2.1 de la norme PCI DSS (Payment Card Industry Data Security Standard) le 31 mars 2024. La version 4.0, plus robuste, de la norme PCI DSS la remplacera, une mise à jour substantielle de la norme conçue pour répondre à l’évolution constante du paysage des menaces et à l’évolution des systèmes de paiement. Les nouvelles exigences sont nécessaires pour aider les entreprises à empêcher que les données des cartes de paiement ne soient compromises ou volées.

Créée par le PCI Security Standards Council (SSC), une entité mondiale qui rassemble les leaders du secteur, notamment American Express, Discover, JCB International, Mastercard, UnionPay et Visa, pour développer des normes garantissant l’utilisation sécurisée des cartes de paiement, PCI DSS v4. .0 inclut de nombreux changements qui affectent non seulement toute organisation qui traite, transmet ou stocke les informations de carte de paiement, mais également celles au sein de l’écosystème de paiement plus large, y compris les fournisseurs de services et ceux qui sont contractuellement tenus de se conformer à la norme PCI DSS.

« Se préparer à la norme PCI DSS v4.0 devrait être un impératif stratégique pour toute organisation possédant des données de carte de paiement », déclare Mark Stachowicz, directeur principal de Verizon Cyber ​​Security Consulting Services, qui comprend des équipes d’experts en matière d’assurance de la sécurité, de cyberdéfense et de Centre consultatif de recherche sur les menaces Verizonune division spécialisée au sein de Verizon Consulting Services qui aide les entreprises à atténuer les menaces pesant sur leurs réseaux, applications et appareils.

« Comprendre les changements apportés à la norme est primordial pour que les évaluateurs de sécurité qualifiés (QSA) puissent effectuer une évaluation complète et efficace », ajoute Stachowicz. « Il est maintenant temps de se demander : « Mon QSA comprend-il les changements apportés à la norme et comment y répondre ? »

Il note que les QSA de Verizon, l’un des fournisseurs de services PCI les plus anciens, recommandent aux RSSI d’explorer plusieurs questions importantes, notamment :

1. Êtes-vous sûr que votre QSA actuel comprend les risques de votre secteur ? Les QSA doivent apporter une solide expertise du domaine à leur travail et connaître les menaces de sécurité uniques auxquelles sont confrontés des secteurs spécifiques, tels que le commerce électronique, la vente au détail et la santé.
2. Votre QSA fournit-il des informations et des recommandations exploitables, ou simplement un rapport de conformité ? Les RSSI doivent évaluer la valeur qu’ils obtiennent des QSA. Donnent-ils des orientations stratégiques ou fournissent-ils simplement un rapport de conformité ? Un QSA efficace est un partenaire capable d’aider les équipes de sécurité et de conformité à mieux protéger leurs systèmes, applications, appareils et données.
3. Votre QSA a-t-elle été proactive en identifiant des améliorations potentielles dans la sécurité de votre carte de paiement ? Un bon QSA répond par une action rapide et un sentiment d’urgence qui est d’une importance cruciale pour prévenir les failles de sécurité tout en fournissant des informations exploitables que les organisations peuvent utiliser pour renforcer leurs défenses.

Stachowicz note que ces questions sont d’une importance cruciale car les données des cartes de paiement sont très recherchées par les cybercriminels, un fait reflété dans l’étude 2023 de Verizon. Rapport d’enquête sur les violations de données. Le rapport indique que les données des cartes de paiement ont été compromises dans 37 % des violations en 2022.

« Les réponses à ces questions sont d’une importance cruciale pour garantir que votre évaluation soit aussi solide que possible », ajoute-t-il. « Une évaluation appropriée ne devrait rarement manquer de révéler les mesures supplémentaires qu’une entreprise devrait prendre pour acquérir une plus grande tranquillité d’esprit. »

Stachowicz recommande également aux responsables informatiques de lire la collection de recherches de Verizon sur la sécurité des paiements et, en particulier, le récent rapport Aperçu du rapport PSR 2023 sur la sécurité des paiements livre blanc, qui explique la valeur de la conception avancée de la gestion des programmes PCI.

« Si votre QSA se contente de cocher des cases, il ne vous rend pas service et ne sera pas en mesure de répondre au niveau de détail plus élevé requis par la norme PCI DSS v4.0 », ajoute-t-il.

« Vous recherchez un partenaire attendu qui simplifie la complexité de la gestion de la conformité avec une solution économique : un programme de sécurité PCI qui fournit des résultats efficaces et prévisibles de manière efficace, plus rapide et avec moins de ressources.

Les équipes de sécurité et de conformité peuvent trouver plus d’informations sur l’évaluation PCI DSS de Verizon. ici.