Post de Docteur Al W.

PCI DSS v4.0.1 inclut des corrections de formatage et d'erreurs typographiques ainsi qu'il clarifie l'objectif et l'intention de certaines exigences et directives. Comme il s'agissait d'une révision limitée de la norme, il n'y a eu aucune modification nouvelle ou supprimée. En mai 2024, Mastercard a annoncé plusieurs modifications de ses standards pour les SDP, Site Data Protection (SDP) Program afin de soutenir les dernières mises à jour PCI DSS v4.x, annoncées par le PCI SSC, ajoutant ainsi de la flexibilité pour les clients et leurs commerçants, et clarifiant les SDP existants des exigences du programme, et s'alignant sur les exigences de validation de sécurité dans l’industrie. Ces changements comprenaient l'expansion des critères de qualification à la norme PCI DSS, qui est un programme d'exemption de validation qui exige la validation PCI DSS pour Mastercard envers les commerçants de niveau 3 d’un acquéreur. Si le montant de la commande fourni dans la demande autorisée, payée ou vérifiée diffère du montant de la commande de l'authentification, les données de niveau II/III ne sont pas copiées depuis l'authentification. Dans ce cas, il faut fournir des données de niveau II/III sur la transaction financière, car celles-ci ne peuvent pas être déduites de la commande. Les données de niveau II/III ne sont envoyées à l'acquéreur que pour les transactions collectées/capturées et remboursées, mais non pour les transactions autorisées ou vérifiées uniquement. Les critères du programme d'exemption de validation permettent de reconnaitre les avantages du commerçant, l'adoption de technologies de paiement sécurisées. ________________ Dr Al Wubatala Président du PCI-SSC Afrique

Le guide de la mise en œuvre de la version 4.0 de la norme PCI-DSS, propriété du PCI-COUNCIL, Consortium des émetteurs internationaux dont JCB, American express, VISA, Mastercard,...permet de réussir l'implantation pas à pas de la norme dans les organisations. Lorsqu'elles existent, les solutions technologiques couvrent les 12 exigences. Pour le savoir, il faut un audit à blanc effectué par un auditeur certifié. L'analyse du rapport de cet audit permet de quantifier les charges ou les depenses à budgétiser. Si les technologies présentent des limites, il faut faire recours à l'optimisation, après avoir évalué les technologies devenues obsolètes pour défauts de licences ou excès de vulnérabilités. Pour une meilleure sécurité, le client doit faire appel à des attaquants externes distincts des agents du cabinet d'accompagnement. Ces derniers présentent toutes les failles du système d'information. La version 4.0 étant flexible, elle fait intervenir des contrôles innovants et efficaces, avec un accent particulier sur la personnalisation. Chaque filiale des banques commerciales est sécurisée en fonction des enjeux de sécurité et des politiques. Cette optimisation de la norme PCI-DSS se croise avec la vision du Consortium Siwub@naga, dont la vocation et la dévotion sont vouées vers l'optimisation. Ainsi est né, le partenariat PCI-COUNCIL-Siwub@naga. La formation pratique pour 2024 et prévue pour septembre, dont le thème est "Comment réussir la mise en oeuvre de la version 4.0 de la norme PCI-DSS", est la tribune par excellence pour relever les défis sécuritaires en matière de paiement électroniques.

L'industrie des cartes de paiement (PCI) définit des normes de conformité spécifiques pour la protection des informations des banques commerciales qui acceptent les cartes de crédit ou de débit. La banque commerciale qui traite ou stocke des données confidentielles, et cela inclut à peu près toutes les entités impliquées dans la monnaie électronique, peut utiliser les exigences de sécurité PCI comme guide pour établir ses politiques et procédures de protection des données. La norme de sécurité des données PCI est un standard sécuritaire complet qui comprend des exigences que les banques commerciales qui traitent les paiements par carte et stockent ou transmettent des informations de carte de crédit, de débit ou prépayée doivent respecter pour assurer des transactions sécurisées. La norme PCI DSS couvre les politiques de gestion de la sécurité, les procédures, l'architecture réseau, la conception de logiciels et d'autres mesures de protection essentielles pour protéger les informations sensibles liées aux cartes de paiement, le tout dans le but de réduire le risque de perte de données de carte de paiement.

Parlons PCI PIN ! 💡 Qu’est-ce que c’est ? PCI PIN, c’est le standard du Payment Card Industry Council qui définit des exigences pour la protection de l’une des données les plus sensibles de vos cartes bancaires : le PIN. Composé de 33 exigences pour le tronc commun et de 2 annexes, ce référentiel complexe cadre l’usage ultra confidentiel du PIN. Auditable une fois tous les 2 ans par un QPA (Qualified Pin Assessor), un certificat de conformité vis-à-vis de PCI PIN est remis à l’audité avec une durée de validité de deux ans donc.   🤔 A quoi ça sert ? Le PIN étant la donnée ultime sur les cartes bancaires, il se doit d’être protégé au juste niveau : les prestataires qui manipulent donc cette donnée se doivent de répondre à un haut niveau de sécurité. Une pratique de plus en plus courante nécessite notamment d’être PCI PIN : le PIN online. Le PCI-PIN est un prérequis pour gérer le sans-contact+ dont le principe est le suivant : être en capacité de pouvoir payer avec sa carte sans contact un montant élevé, et taper son code PIN sans insérer la carte. Son code PIN est alors envoyé à la banque, chiffré pour vérification, en passant par différents prestataires. Ces opérations de chiffrement / déchiffrement nécessitent donc une certification PCI PIN.   🙋🏼♂️ Et PAX France, dans tout ça ? PAX France charge dans ses terminaux des clefs permettant de chiffrer le code PIN : Ce processus de chargement se réalise dans une salle spécialisée, appelée « Secure Room », avec plusieurs officiers chargés d’injecter la clef pour en assurer la confidentialité et la non-répudiation.   Envie d’en savoir plus ? Contactez-nous 👉🏻 contact@paxtechnology.fr

Madame/Monsieur, Initié par VISA et destiné à protéger les informations sensibles des données des comptes et transactions de paiements, le compte AIS, Account security Information, est basé sur la norme PCI-DSS et s'applique à toute entité qui effectue le stockage, le traitement ou la transmission des données de porteurs de cartes de paiement. Il s'agit du CHD, Card Holder Datas, qui inclus les marchands, les fournisseurs de services et les processeurs. Faisant suite, un des mythes sur PCI-DSS, c'est que externaliser la monétique rend conforme à la norme, car l'outsourcing simplifie le processus de traitement des cartes bancaires, mais ne confère pas une conformité automatique à la norme. Des mesures de sécurité doivent être définies pour protéger les transactions des porteurs et le traitement des données au niveau de la banque. Les données des porteurs doivent par exemple être protégées lorsqu'elles sont reçues pour le traitement des chargebacks et des remboursements. A l'opposé, la banque doit aussi s'assurer que ses fournisseurs et prestataires sont conformes aux exigences applicables concernant les processus et infrastructures (PCI-DSS), les applications fournies (PA-DSS), les équipements -PTS, P2FE..), et exiger si nécessaire un certificat ou autre preuve de conformité de la part des concernés. In extenso, les solutions technologiques permettant d’être conforme à la norme PCI-DSS, sont commercialisables, à l'instar de l'authentification forte, la gestion des logs, la supervision, etc. Un processus qui est dévoilé au cours des formations ventilées par le PCI-Council, afin d'assurer un retour sur investissement. L(objectif des formations est de s'assurer que la sécurité des transactions financière est garantie, ou que l'entité est prête à la certification, ou encore que les entités déjà certifiées ont maintenues la conformité. Pour la version 4.0, les entités déjà certifiées se voient contraintes à un audit de certification. -------------------- Dr Al Wubatala Président du Consortium Siwubanaga Président du PCI-SSC Afrique

Avec la version 4.0 de la norme PCI-DSS, les intégrateurs des solutions technologiques et les cabinets d'accompagnement vont se bousculer, pour ne pas tomber dans la congestion relative au retrait définitif de la version 3.2.1, prévue pour le 31 Mars 2025. Pour aider les banques commerciales à palier au plus urgent, le groupe SIWU, expert en études d'ingénierie (des solutions  technologiques) et partenaire gold des intégrateurs  et cabinets d'accompagnement, se positionne en maîtrise d'ouvrages. C’est avec la récente sortie du nouveau standard PCI DSS , Payment Card Industry Data Security Standard, dans sa version 4.0 qu’ont été publiées les nouvelles versions des SAQ , Self Assessment Questionnaire, qui l’accompagnent. Ceux-ci, comme le référentiel complet, sont entrés en vigueur dès le 31 mars 2024. Certaines exigences ne sont toutefois qu’à l’état de bonnes pratiques, donc facultatives jusqu’au 31 mars 2025, date de retrait définitif de la version 3.2.1. Le SAQ A étant un formulaire d’auto-évaluation destiné aux marchands et centres de traitement des commandes téléphoniques ou e-mail, dont MOTO pour mail order, telephone order,  ne traitant pas directement les données de cartes bancaires de leurs clients. En effet, une société est éligible au SAQ lorsque cette dernière : * a recours à un prestataire de paiement, payment service provider ou PSP, pour traiter, à sa place, la réception, le stockage et la transmission des données de cartes bancaires; * réalise moins de 6 millions de transactions par an; Cette version très allégée du standard, avec environ 28 exigences dans le SAQ A, contre 250 dans le référentiel complet, se veut simple pour permettre aux entreprises de s’auto-certifier. Dans les faits, cela s’avère plus complexe et il est souvent nécessaire de passer par un cabinet QSA, Qualified Security Assessor, en capacité d’auditer, mais aussi d’accompagner les clients dans leur stratégie de certification. Les drafts sont transmis pour avis,  et seront  contractés en Septembre 2024 en présentiel.

Débutons ce nouveau Mois et cette nouvelle semaine avec le Standard de sécurité de carte de paiement en ligne PCI DSS. Prêt pour un audit de conformité PCI-DSS ? Les données de cartes de paiement font l'objet d’une attention particulière à cause de leur caractère sensible et des nombreuses fraudes. La conformité à la norme de sécurité PCI repose sur trois composantes principales. 1-Gérer le transfert des données de cartes bancaires des clients. 2-Stocker les données de manière sécurisée. 3-Garantir chaque année que les contrôles de sécurité nécessaires sont effectués. 4-12 Principales Exigences Les exigences s'appliquent aux entités qui traitent , stockent et transmettent des données de types : - (PAN) Numéro de compte primaire - (CDE)/(CHD) Données des titulaires de cartes - (SAD) Données d'authentifications sensibles

Actif aujourd'hui, PCI-DSS 4.0.1 qui apporte des clarifications au PCI DSS 4.0, et non de nouvelles exigences, est le seul ensemble existant de directives PCI et de normes de sécurité conçues pour protéger les données des cartes des consommateurs et réduire l'exposition et le risque de fraude des commerçants, et les violations de données. Pour le Conseil de sécurité des normes PCI, la combinaison EMV et PCI constitue une combinaison puissante pour accroître la sécurité des données de carte en réduisant la fraude. PCI obligeant les détaillants à accepter les cartes à puce, tout en étant une norme mondiale conçue pour protéger les données des titulaires de cartes. Les cartes à puce EMV étant conçues pour protéger contre la fraude par contrefaçon. Mastercard, par exemple, a une feuille de route pour l’élimination totale de l’utilisation de la bande magnétique. D'ici 2033, aucune carte de crédit et de débit Mastercard n'aura de bande magnétique, ce qui laisse un long chemin à parcourir aux partenaires restants qui s'appuient encore sur la technologie pour mettre en place progressivement le traitement des cartes à puce. Pour Visa, il n’existe pas de projet spécifique visant à éliminer les cartes à bande magnétique. ________________ Dr Al Wubatala Président du PCI-DSS Afrique

Actif aujourd'hui, PCI-DSS 4.0.1 qui apporte des clarifications au PCI DSS 4.0, et non de nouvelles exigences, est le seul ensemble existant de directives PCI et de normes de sécurité conçues pour protéger les données des cartes des consommateurs et réduire l'exposition et le risque de fraude des commerçants, et les violations de données. Pour le Conseil de sécurité des normes PCI, la combinaison EMV et PCI constitue une combinaison puissante pour accroître la sécurité des données de carte en réduisant la fraude. PCI obligeant les détaillants à accepter les cartes à puce, tout en étant une norme mondiale conçue pour protéger les données des titulaires de cartes. Les cartes à puce EMV étant conçues pour protéger contre la fraude par contrefaçon. Mastercard, par exemple, a une feuille de route pour l’élimination totale de l’utilisation de la bande magnétique. D'ici 2033, aucune carte de crédit et de débit Mastercard n'aura de bande magnétique, ce qui laisse un long chemin à parcourir aux partenaires restants qui s'appuient encore sur la technologie pour mettre en place progressivement le traitement des cartes à puce. Pour Visa, il n’existe pas de projet spécifique visant à éliminer les cartes à bande magnétique. ________________ Dr Al Wubatala Président du PCI-DSS Afrique

Standard PCI-DSS (Sécurité de carte de paiement). Les données de cartes de paiement font l'objet d’une attention particulière à cause de leur caractère sensible et des nombreuses fraudes. La conformité à la norme de sécurité PCI-DSS repose sur trois composantes principales 1-Gérer le transfert des données de cartes bancaires des clients. 2-Stocker les données de manière sécurisée. 3-Garantir chaque année que les contrôles de sécurité nécessaires sont effectués.