Douze règles pour empêcher le vol des données des cartes de crédit

Publié le 6 Février 2009

Applicable à toute entreprise dont le Système d'information héberge, transmet ou traite les données des porteurs de carte du groupement PCI-SSC (Visa, Mastercard, American Express, JCB, Discover, etc.), le standard PCI-DSS vise à garantir la sécurité de ces données. Pour ce faire, il oblige, entre autres, les entreprises à systématiquement ‘tracer' tous les accès aux données des porteurs de carte en s'appuyant principalement sur les différents journaux d'événements (ou logs) du S.I.

Par Laurent Besset, Consultant Associé chez I-Tracing sur la sécurisation des données des cartes de crédit

 

Un standard en douze points

 

Le PCI-DSS (Payment Card Industry - Data Security Standard) est un standard défini par le PCI - Security Standards Council (PCI-SSC) qui rassemble les principaux réseaux internationaux de cartes de paiement. Son objectif est la protection des données des porteurs de carte (numéro de carte, nom du porteur, date d'expiration, code de sécurité CAV2/CVC2/CCV2/CID, etc.). Il s'applique à toute entreprise stockant, communiquant ou/et traitant ces données à partir du moment où elles incluent le numéro de carte ou PAN (pour Primary Account Number).

La cible de ce standard couvre donc aussi bien les commerçants adhérant à l'un des différents réseaux, que les fournisseurs de service de paiement ou les organismes bancaires finalisant les transactions.

Le standard consiste en une série de douze exigences ou requirements visant à sécuriser les systèmes d'information dans lesquels les données des porteurs de carte sont conservées ou manipulées :

Fonction du nombre de paiements de l'entreprise, la conformité au PCI-DSS doit faire l'objet d'une déclaration ou d'un audit externe et de scans réguliers du S.I. Les entreprises non conformes s'exposent à des amendes plus ou moins lourdes, voire à une interdiction de réaliser des paiements par carte.

 

Tracer les accès aux données des porteurs de cartes

 

L'exigence 10 du PCI-DSS part du principe qu'il est indispensable de disposer de traces fiables pour reconstituer l'activité d'un utilisateur au sein du S.I. contenant les données des porteurs de cartes ; et ce, dans une logique d'enquête a posteriori autant que d'analyse proactive.

Il prévoit donc la mise en œuvre d'un véritable système de traçabilité autour des données des porteurs. Ce système doit assurer la traçabilité « de bout en bout » de l'activité d'un utilisateur dans le S.I., i.e. tracé aussi bien au niveau des applications et bases de données que des infrastructures (système, réseau, sécurité du réseau, etc.). Il doit aussi garantir la fiabilité et la sécurité des traces prises. De manière plus précise, le requirement 10 demande l'activation de tout log nécessaire à la reconstruction des accès aux données des porteurs de cartes et des actions réalisées avec des privilèges de type « administrateur » dans le S.I. contenant les données des porteurs. Sont également nécessaires les logs retraçant les authentifications réussies et manquées, la création et la suppression d'objets de niveau « système » (exécutables, fichiers de configurations, DLL, etc.) ainsi que les consultations elles-mêmes des logs.

Les logs doivent être conservés au moins un an et accessibles « en ligne » pendant au moins trois mois. Mais, au-delà de la définition de ce qui doit être tracé et du temps de conservation des traces, le PCI-DSS se distingue de la plupart des autres obligations de traçabilité par son caractère très opérationnel. Il donne, en effet, des consignes relativement détaillées sur le cycle de vie des différentes traces et leur gestion :

 

Quel impact sur la sécurité informatique des entreprises ?

 

Parce qu'il s'inscrit au final dans une optique très « ISO 27000 », le PCI-DSS n'est sans doute pas amené à bouleverser les démarches SSI déjà en place. Il se distingue cependant par un volet « traçabilité » beaucoup plus concret et précis que d'autres obligations réglementaires ou d'autres bonnes pratiques informatiques. 

Si la gestion des traces est traditionnellement l'un des parents pauvres de la sécurité informatique, la large portée et la nature du PCI-DSS va sans nul doute accélérer la courbe d'apprentissage des DSI sur ce sujet, tant pour l'organisation (directives et procédures dédiées) que pour la technique (solutions de log management).

 

Laurent Besset, I-TRACING

Laurent Besset a 31 ans et est ingénieur, diplômé de l'Institut National de Télécommunications. Il est Spécialiste de la Gestion des processus métiers (BPM) et de l'Urbanisation des Systèmes d'Information. Après plusieurs expériences chez Siticom IS, Groupe Siticom et Dreamsoft, Groupe Solucom, il a rejoint I-Tracing, première société française dédiée à la traçabilité de l'information.

 

A propos d'I-Tracing

Fondée en 2005 par Laurent Charvériat et Théodore-Michel Vrangos, I-Tracing est une entreprise entièrement dédiée à la traçabilité de l'information et la gestion de la preuve. Installé à Puteaux (92), cet opérateur de service de traçabilité propose une gamme complète de prestations à valeur ajoutée de conseil, d'audit, de formation, d'ingénierie et d'infogérance des solutions de traçabilité et de gestion des preuves.

I-TRACING combine la compréhension et l'anticipation des besoins fonctionnels, spécifiques à chaque environnement métier, à une grande expertise technologique des protocoles et des solutions Internet, de la mobilité et des télécommunications. Aujourd'hui, elle intervient sur différentes déclinaisons de la traçabilité de l'information auprès de grandes entreprises françaises telles que SFR, Pacifica, Sanofi-Aventis, UBIFRANCE, MACIF, Groupe France Telecom, Groupe Crédit Agricole, Groupe Lamy, Groupe La Poste, Groupe Carrefour, Institut Curie, Chambre des Notaires de Paris, etc.

Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
Services
Ingram
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires