Publication des derniers Suppléments d'Information relatifs à la Norme PCI en matière de sécurité des données par le PCI Security Standards Council

Le PCI Security Standards Council, un organisme de normes ouvertes de l'industrie présent dans le monde entier, s'occupant de la gestion du Payment Card Industry Data Security Standard (DSS), du PCI Entry Device (PED) Security Requirements et du Payment Application Data Security Standard (PA-DSS), a annoncé aujourd'hui que deux Suppléments d'Informations relatifs à une clarification supplémentaire pour les conditions 11.3 PCI DSS concernant le test de pénétration, et la condition 6.6 concernant l'examen du code d'application et l'application Firewalls, sont maintenant disponibles. Ces deux Suppléments d'Information proposent des conseils afin d'aider marchands et prestataires de service à satisfaire ces deux conditions en appui à de leurs efforts de conformité au PCI DSS. Ces deux Suppléments d'Informations sont maintenant disponibles sur le site Internet du Conseil https://www.pcisecuritystandards.org/tech/supporting_documents.htm.

Ces Suppléments d'Informations sont une des méthodes du Conseil pour proposer clarification et conseils sur le PCI DSS. Le Conseil, en partenariat avec l'industrie des cartes de paiement et ses Organisations Participantes, comptent maintenant plus de 440 compagnies de par le monde - utilise ces suppléments d'information afin d'aider marchants et prestataires de services dans l'adoption du PCI DSS et protéger le consommateur, détenteur de carte.

La condition 11.3 traite du test de pénétration, qui inclut le réseau et le test de la couche d'application ainsi que les contrôles et les processus entourant les réseaux et les applications. Un tel test est considérable afin de s'assurer que, à la fois les réseaux et les applications, sont protégés de toute intrusion externe. Le Supplément d'Information pour la Condition 11.3 propose conseils sur qui peut s'acquitter du test de pénétration, sur l'étendue de tel test, la fréquence de tels tests, leur préparation, la méthodologie du test et les éléments des techniques du test.

La condition 6.6, qui entrera en vigueur le 30 juin 2008, propose deux options dont l'objectif est de traiter des menaces usuelles auxquelles le détenteur de carte est confronté et de garantir que les données pour des applications web provenant d'environnements non certifiés fassent l'objet d'un examen approfondi. Le Supplément d'Information pour cette condition offre aux organisations la clarification relative aux examens de code pour la mise en œuvre de l'application (option une) et/ou l'application firewalls (option deux).

La première option concernant l'application de l'examen du code visant à satisfaire la Condition 6.6 est maintenant subdivisée en quatre options conçues pour satisfaire le propos de la condition. Elles comprennent :

• La revue du manuel concernant le code source de l'application
• L'utilisation appropriée des outils automatisés (scanning) de l'analyseur du code source
• Les évaluations manuelles en matière de vulnérabilité au niveau de l'application de la sécurité sur le web
• L'utilisation appropriée des outils automatisés d'évaluation (scanning) en matière de vulnérabilité concernant l'application de la sécurité sur le web.

La seconde option pour la Condition 6.6 est une Web Application Firewall (WAF) qui est en fait un point de mise en application de la politique de sécurité qui se situe entre l'application web et le client en tant que point final. Le Supplément d'Information propose des dispositions recommandées concernant un WAF choisi, des dispositions préconisées additionnelles pour des environnements spécifiques, des considérations additionnelles pour des organisations mettant en place un WAF et des sources additionnelles d'informations sur la sécurité en application sur le Web.

La mission du Conseil est d'offrir les conseils les plus clairs à tous en matière de chaîne de paiements en mettant en œuvre le PCI DSS" a déclaré Bob Russo, Directeur Général de PCI Security Standards Council. "Ces Suppléments d'Information périodiques sont créés à partir du retour d'information varié et critique émanant de l'industrie que nous continuons de recevoir de la part de nos actionnaires et sont conçus pour faciliter les choses concernant les projets PCI DSS des organisations".

Pour de plus amples informations:

Si vous souhaitez en savoir plus sur le PCI Security Standards Council ou si vous souhaiter devenir une Organisation Participante, veuillez visiter pcisecuritystandards.org,, où vous trouverez des réponses aux questions fréquentes, ou veuillez contacter le PCI Security Standards Council àinfo@pcisecuritystandards.org.

À propos de PCI Security Standards Council

La mission de PCI Security Standards Council est d'améliorer la sécurité des données de paiement par la promotion et l'éducation autour des normes PCI Data Security Standard et autres standards qui augmentent le niveau de sécurité des données de paiement.

Le PCI Security Standards Council a été formé par les grands réseaux de cartes de paiement American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. pour constituer un forum transparent dans lequel les parties intéressées peuvent prendre parr au processus de développement, d’amélioration et de diffusion des normes DSS (PCI Data Security Standard), PED (PIN Entry Device) et PA-DSS (Payment Application Data Security Standard). Commerçants, banques, opérateurs et points de vente sont invités à nous rejoindre en tant qu’organisation participante.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.