Préparer sa conformité PCI DSS v4.0 : Adyen vous donne toutes les clés

Téléphones mobiles, tablettes, paiements sans contact, adoption cloud, nouvelles pratiques de développement de logiciels, dépendance accrue vis-à-vis de services tiers… Lancée au 1er trimestre 2022, la norme PCI DSS version 4.0 accroît les exigences dans des domaines clés de sécurité et de technologie. Pour cette nouvelle version, le PCI Security Standards Council a fixé 4 objectifs :

1. Répondre aux nouveaux besoins de sécurité du secteur des paiements.

2. Améliorer la souplesse et la compatibilité avec d'autres méthodologies mises en place pour optimiser la sécurité.

3. Encourager les entreprises à envisager la sécurité comme un processus permanent.

4. Garantir la robustesse des méthodes et des processus de validation.

La norme PCI DSS v4.0 remplacera officiellement l’ancien standard v3.2.1 à compter du 1er avril 2024, avec une période de transition de deux ans. Comme elle implique des changements substantiels, il est important que les entreprises se préparent le plus tôt possible à la version 4.0. Pour commencer, il convient de mesurer l’ampleur de la mise à jour à réaliser.

Si la configuration et l’intégration peuvent varier d’un marchand à l’autre, certains changements devraient néanmoins s’appliquer à la plupart des acteurs du e-commerce.

Exigence 6.4.3 : sécuriser les scripts sur les pages de paiement

Les scripts intégrés aux pages de paiements doivent faire l’objet d’une attention toute particulière pour prévenir toute exécution frauduleuse, notamment en instaurant des méthodes pour les valider et garantir leur intégrité. Par ailleurs, il est nécessaire de garder un inventaire des justifications associées à chaque script.

Exigence 11.3.2 : Réaliser un contrôle régulier des failles externes

Tous les trois mois, votre organisation doit réaliser une recherche de vulnérabilités externes en dépêchant un prestataire d’analyse agréé PCI SCC. Un audit régulier est vital pour déceler et corriger toute vulnérabilité existante dans les serveurs communiquant avec l’extérieur et vous prémunir contre les attaques éventuelles. Bien que 4 analyses réussies en l'espace de 12 mois ne soient pas exigées dans un premier temps, les années suivantes, des analyses réussies devront être effectuées au moins tous les 3 mois. Cette exigence entre en vigueur immédiatement. 

Exigence 11.6.1 : Détecter les modifications non autorisées

Cette exigence nécessite la mise en place de systèmes de détection des changements sur vos pages de paiement pour déceler les modifications non autorisées et déjouer les attaques de type man-in-the-middle. Dans ce type de cyberattaque, l’attaquant s’insère au milieu d'un transfert de données pour détourner des informations. Grâce à cet outil, les marchands peuvent comparer le contenu et les en-têtes HTTP actuels d’une page avec ses versions précédentes, afin de repérer tout changement suspect qui pourrait être le signe d’une attaque par skimming, où les informations bancaires sont détournées avant d’être envoyées à des pirates qui clonent alors la carte bancaire. Les politiques de type Content Security Policy (CSP), l’inspection du chargement de sites et l’intégration de scripts résistants au piratage font partie des mécanismes qui permettent de détecter les modifications non autorisées. Les marchands doivent déployer de tels systèmes et les exécuter au moins une fois par semaine pour garantir la sécurité des pages web critiques.

Pour maintenir leur conformité PCI DSS et assurer une transition sans accroc, les marchands doivent agir dès maintenant afin de comprendre et d’anticiper les changements requis par la version 4.0. Nous recommandons une évaluation régulière des lacunes pour identifier toutes les zones qui auraient besoin d’être optimisées. Prévoyez assez de temps pour corriger les manquements éventuels bien en amont de toute validation formelle. Adyen est l’un des premiers acteurs du secteur à avoir complété sa certification pour la toute dernière version PCI DSS, conformément à notre engagement pour un écosystème des paiements toujours plus sûr. En matière de sécurité, impossible de se reposer sur ses lauriers. Aussi, il est important de considérer la conformité PCI DSS comme un effort continu, et non une grille à cocher une fois par an, car les menaces en termes de  cybersécurité ne cessent d’évoluer et de se multiplier. Pour prouver leur conformité aux exigences PCI et l’application des mesures requises pour protéger les données des titulaires de carte, les marchands remplissent un questionnaire d’auto-évaluation (PCI SAQ) ou un rapport de conformité (RoC). La validité de ces documents expire un an après leur signature. Face à des menaces toujours plus nombreuses, nous encourageons les marchands à suivre leur conformité PCI DSS en continu (au lieu de remplir leur checklist une seule fois par an). Avec un cycle de révision annuel, les organisations peuvent laisser s’installer des failles qui sont contraires à leur conformité : il vaut donc mieux agir régulièrement et rapidement. Pour placer la sécurité au cœur de vos préoccupations, il est aussi préconisé de sensibiliser régulièrement vos équipes aux enjeux de la conformité PCI DSS et au rôle qu’elles ont à jouer dans la protection des données de paiement. En intégrant cette notion dans votre culture d’entreprise, il sera possible de détecter, signaler et corriger plus rapidement toute défaillance. 

De prime abord, la conformité PCI DSS peut faire peur, surtout sans framework éprouvé pour protéger les données relatives aux comptes comme il se doit. Mais n’ayez crainte, nous sommes là pour vous guider dans ce parcours : vous pouvez nous consulter pour toutes vos questions relatives à cette transition. Pour partir sur de bonnes bases, nous vous invitons à lire ces deux ressources :

Le guide de conformité PCI DSS Adyen

L’aide Adyen