Qu’est-ce que le PCI-DSS version 4 ?

Le PCI-DSS (Payment Card Industry Data Security Standard) est une norme de sécurité qui vise à protéger les informations des cartes de paiements. Elle établit des exigences pour les entreprises qui traitent, stockent ou transmettent ces données. L’objectif est de garantir  la sécurité des transactions financières et de protéger les consommateurs contre la fraude.

La conformité aux normes PCI-DSS est donc essentielle pour accepter les paiements par carte en ligne, en magasin ou par téléphone. 

L'information est tombée sur le site officiel du PCI-DSS ! La version 3.2.1 de la norme est valable jusqu'en 2025, mais il est déjà possible pour les entreprises d’entamer la certification 4.0 !

Mises à jour et modifications dans la nouvelle version PCI-DSS 4.0

Dans un premier temps, la nouvelle version PCI-DSS v4.0 vient simplifier les exigences d'authentification et de mot de passe. Les organisations devront mettre en œuvre les exigences plus strictes pour garantir une sécurité maximale des comptes et des mots de passe. Les sociétés devront également mettre en place des politiques de gestion de mot de passe pour garantir que les mots de passe sont changés régulièrement et ne sont pas partagés entre les utilisateurs. Elles devront aussi mettre en place des mesures de sécurité supplémentaires pour protéger les données des cartes de paiement, notamment en utilisant des méthodes de cryptage plus robustes et en limitant l’accès aux données sensibles.

De plus, la nouvelle version PCI-DSS v4.0 clarifie les exigences pour les prestataires de services et les fournisseurs tiers. Les organisations devront s'assurer que leurs fournisseurs respectent les exigences PCI-DSS et mettre en place des mesures de sécurité appropriées pour protéger les données des cartes de paiement. Les entreprises devront également s'assurer que les contrats avec les fournisseurs tiers incluent des clauses de sécurité appropriées. Cette clarification aidera les organisations à mieux comprendre leurs responsabilités en matière de sécurité des données de carte de paiement et à s'assurer que leurs fournisseurs sont en conformité avec les exigences PCI-DSS.

La version actuelle et celle que Voxpay détient, est la version 3.2. Toutefois, Voxpay a pris de l’avance et a déjà entamé le travail pour la certification 4.0 ! Voxpay est donc déjà PCI-DSS 4.0 ready !

En effet, depuis 2018, Voxpay renouvelle avec brio la certification chaque année.

Quelques mots de notre CEO, Franck Mechineau : 

“Voxpay est une plateforme SaaS de paiement à distance certifiée PCI-DSS Niveau 1, le plus haut niveau de certification chez PCI-DSS. A ce titre, nous sommes audités tous les ans par un QSA habilité.Ce QSA est la société française et parisienne “XMCO” ! Dans le cadre de cette certification, des pentest, des audits de sécurité, etc, sont menés et obligatoires pour renouveler cette certification. Nous renouvelons cette certification chaque année depuis 2018 !”

Le saviez-vous ?

Les banques intègrent la conformité à la PCI-DSS dans leurs contrats de Vente à distance (VAD) et de Vente à distance Sécurisé (VADS) pour s'assurer que les commerçants mettent en place des mesures de sécurité rigoureuses, réduisant ainsi les risques liés aux fraudes par carte de crédit et renforçant la confiance des clients dans les paiements en ligne. En garantissant que les commerçants respectent ces normes strictes, les banques contribuent à la protection des consommateurs tout en préservant l'intégrité du système de paiement par carte.

Pour conclure, voilà ce qu’il faut retenir de ces changements avec la version 4.0 :

• Un approche basée sur les risques : La version 4.0 met davantage l’accent sur une approche basée sur les risques, en identifiant et en évaluant les menaces potentielles pour la sécurité des données des cartes de paiement.

• Une mise à jour des exigences de chiffrement : La norme exige désormais un chiffrement multicouche pour les données sensibles. Cela signifie que les données doivent être chiffrées au repos, en transit et lorsqu'elles sont stockées dans des environnements virtuels.

• Des contrôles de sécurité plus strictes : Elle introduit des contrôles de sécurité plus stricts pour renforcer la protection des données des cartes de paiement, notamment en matière de gestion des mots de passe, de chiffrement et de protection des données sensibles. Les entreprises doivent minimiser la rétention de ces données, ce qui réduit les risques en cas de violation de la sécurité. 

• La transparence de la conformité : Elle exige une plus grande transparence en matière de conformité, en encourageant les organisations à fournir des preuves de leur conformité aux exigences du PCI-DSS.

• La gestion des vulnérabilités : Elle met l’accent sur une gestion plus proactive des vulnérabilités, en exigeant des organisations qu’elles identifient, évaluent et corrigent régulièrement les vulnérabilités potentielles dans leurs systèmes.

• Les exigences pour les services Cloud : La version 4.0 inclut des exigences spécifiques pour les services Cloud, comme de plus en plus d'entreprises utilisent ces services pour stocker des données sensibles. Ces dernières devront donc s'assurer que leurs fournisseurs de services Cloud respectent les normes de sécurité du PCI-DSS.

La version 4.0 amène tout de même à certaines restrictions : 

En premier, sa complexité accrue : en effet, les nouvelles exigences et l'approche basée sur les risques peuvent rendre la mise en conformité plus complexe. Les entreprises devront donc effectuer des évaluations de sécurité approfondies pour identifier les vulnérabilités et les risques potentiels.

En second, les coûts supplémentaires qu’elle peut apporter aux entreprises : sa mise en conformité qui peut inclure les coûts liés à la mise en place de l'authentification multifactorielle, du chiffrement multicouche et de la protection des données CHD.

Pour finir, le temps de mise en conformité prolongé : en raison de la complexité accrue, la mise en conformité avec la version 4.0 du PCI DSS peut prendre plus de temps que les versions précédentes. Il est alors essentiel pour les entreprises de commencer tôt leur processus de mise en conformité.

La PCI-DSS v4.0 remplacera officiellement l'ancienne norme v3.2.1 par une période de transition de deux ans commençant le 1er avril 2024.

En résumé, la version 4.0 de PCI DSS apporte des changements importants qui renforcent la sécurité des données des titulaires de cartes de paiement. Même si ces changements peuvent engendrer des coûts et des défis supplémentaires, ils sont essentiels pour faire face à l’évolution des menaces de sécurité. Les entreprises doivent prendre des mesures pour se conformer à ces nouvelles exigences et assurer la sécurité de leurs transactions financières. Pour plus d'informations sur la conformité à la norme PCI DSS 4.0, nous vous recommandons de visiter le site Web officiel du PCI Security Standards Council.

Voxpay est donc très fière d’être PCI-DSS 3.2 et 4.0 ready !