Les standards de sécurité PCI 1.2 sur les cartes bancaires adoptés
Le nouveau cadre PCI 1.2 clarifie les dispositifs à déployer pour protéger les porteurs de cartes bancaires. En 2009, une sécurisation par chiffrement de bout en bout et la virtualisation sont au programme. . L'organisation PCISC (Payment Card Industry Security Standards Council) qui fixe les règles techniques pour les traitements des cartes bancaires dans les systèmes électroniques a publié la semaine dernière les règles de sécurité révisées, la version PCI 1.2 de son cadre de sécurisation des paiements par carte. L'organisation indique qu'en 2009, le focus ira sur de nouvelles règles pour du chiffrement de bout en bout, les machines de paiement (type DAB) et la virtualisation. La nouvelle version de PCI 1.2 fixe quelques règles : - L'usage du WEP est interdit pour le déploiement de nouveaux réseaux sans fil après le 31 mars 2009. La norme WPA est préconisée à sa place, - Il est interdit d'utiliser le WEP dans les réseaux sans fil actuels après le 30 juin 2010 - Les modifications de code dans les applications internes doivent être validées par des personnes qualifiées différentes de celles qui ont réalisé la programmation - Une clarification concerne l'obligation d'IDS (Intrusion Detection System) versus IPS (Intrusion Prevention System) : le monitoring ne concerne plus « tout le trafic réseau » mais uniquement « tout le trafic concernant les données liées au détenteur de carte ». - Lorsqu'un support électronique est détruit, les données concernant le porteur de carte doivent être rendues irrécupérables, ce qui peut être réalisé via un programme d'effacement sécurisé ou par une destruction physique. Le standard PCI 1.2 cherche à clarifier ... ... certains points de PCI 1.1 qui avaient semé la confusion. Entre autres points, PCI 1.2 indique que chaque système d'exploitation intervenant dans le traitement des cartes bancaires doit être protégé par un logiciel anti-virus, alors que beaucoup pensait que c'était uniquement Windows qui était concerné. Les systèmes Unix, Linux et Mac sont donc dans la boucle. Conséquence : cela va être coûteux de mettre à niveau tous les systèmes d'exploitation dans le cadre de PCI 1.2 Un des sujets importants de débat parmi les instances de l'organisation a été de savoir ce que signifie « segmentation du réseau », étant donné que l'objectif de PCI est de mettre au point des méthodes permettant de boucler les lieux où se trouvent les données liées aux cartes. Ce sont les zones spécifiques du réseau du marchand où se trouvent les données liées au porteur de carte qui doivent alors être évaluées selon leur conformité au standard PCI. La ligne de conduite est désormais d'employer des pare-feux afin de restreindre les accès. Le standard PCI 1.2 conseille l'usage de « pare-feux internes, de routeurs avec un contrôle d'accès renforcé » et d'autres technologies de restriction des accès au réseau, afin de réaliser une segmentation interne, pour le traitement ... ... des cartes. Il peut être difficile d'isoler le réseau afin de protéger des serveurs spécifiques et les applications associées aux cartes bancaires, d'en effectuer le monitoring et d'en enregistrer tout l' historique, selon le cadre PCI 1.2. Cela risque d'aboutir à beaucoup d'informations à conserver et à analyser. Reste qu'il n'y a guère le choix si l'on veut réussir l'audit PCI. Ceci dit, encore plus de changements sont prévus pour 2009. Des guides de sécurité sont en cours de développement pour les terminaux de paiement sans surveillance, dont les distributeurs automatiques bancaires (DAB), et tout autre type de machines qui traitent des cartes de paiement. Les discussions pour l'année prochaine vont concerner notamment comment le chiffrement devrait être utilisé dans les DAB pour traiter les codes secrets PIN (Personal Identification Number). Le chiffrement de bout en bout devrait être un centre d'intérêt majeur de l'organisation en charge de la standardisation. Le chiffrement actuellement est requis en dehors du réseau, mais pas à l'intérieur. Autre point à traiter, pour l'organisme, la montée en puissance des serveurs virtuels. Pour l'heure la protection de ces nouvelles machines échappe encore au cadre de PCI DSS.