C’est bien là le propre de l’existence : il nous arrive de faire certaines choses non parce que nous les désirons, mais plutôt parce que nous y sommes contraints. Et quand bien même, à l’occasion, enfreindre la réglementation pour « tâter le terrain » nous attire, au fond de nous-mêmes, nous savons que nous nous mettons du bon côté de la loi si nous respectons les règles du jeu. Voilà ce qui compte le plus.
Un seul mot pour cela : conformité.
C'est bien souvent le cas dans le secteur financier.
Dans un environnement où les données très sensibles des titulaires de cartes (nom du titulaire, nom du service, numéro de compte principal, etc.) passent souvent d'une main à l'autre, il est nécessaire d'établir des règles définissant clairement les modalités selon lesquelles les entreprises doivent traiter ces données, tout en garantissant la conformité.
Parmi ces « règles » figure la norme de sécurité des données du secteur des cartes de paiement, plus souvent connue sous l’acronyme PCI DSS.
Conformité à la norme PCI DSS : réduction à sa plus simple expression
Comme son nom l'indique, PCI DSS fait référence à un ensemble d'exigences internationalement reconnues visant à garantir que toutes les entreprises qui traitent, transmettent ou stockent des informations relatives aux cartes de crédit le font dans le cadre d’un environnement sécurisé et de toute fiabilité.
Les entreprises du secteur financier sont à l’origine de la création de la norme PCI DSS. Les banques, les commerçants et autres fournisseurs de services financiers sont autant d’acteurs qui composent et font vivre cet immense secteur financier.
Dans le monde de la finance, le constat est assez clair : les données des titulaires de cartes restent l'un des types d'informations les plus ciblées, les plus vulnérables et les plus sensibles au monde. Les pirates et les acteurs malveillants sont à l'affût en permanence, cherchant à savoir qui a laissé la porte de ses données de carte bancaire entrouverte.
C'est précisément la raison pour laquelle la norme PCI DSS a été pensée. Pour reprendre les termes du Conseil des normes de sécurité PCI, PCI DSS a été créé pour « encourager et améliorer la sécurité des données et faciliter l'adoption à grande échelle de mesures de sécurité des données cohérentes au niveau mondial ».
Comme vous l'avez peut-être déjà deviné, cette norme réglementaire vise à protéger les consommateurs et les entreprises du secteur financier contre les fraudeurs de cartes de crédit et de débit.
Malgré les avantages apparents qu'apporte la conformité à la norme PCI DSS (citons par exemple la réduction des accidents liés au vol de cartes, la confiance accrue envers les partenaires, etc.), certaines entreprises préfèrent encore fermer les yeux. Les répercussions d'une telle attitude peuvent être dévastatrices, surtout si votre entreprise non conforme subit une violation de données. Il convient d’éviter ce scénario à tout prix.
Transfert de fichiers sécurisé et conformité PCI : que faut-il faire ?
La norme PCI DSS repose aujourd'hui sur douze exigences clés. Les préoccupations clés de la norme concernant les transferts de fichiers sécurisés comprennent :
- le développement et la maintenance des applications et des systèmes sécurisés
- la protection des données des titulaires de cartes au repos
- le contrôle de l'accès aux données des titulaires de cartes
- le cryptage des données des titulaires de cartes en transit
Examinons maintenant chacune de ces exigences réglementaires de plus près.
1. Protection des données au repos
Ça semble tellement évident. Et pourtant !
La première chose que vous pouvez faire pour protéger les données confidentielles des titulaires de cartes est de réduire leur stockage au sein de vos réseaux et systèmes sur site. Dans un environnement aussi dynamique, aux multiples facettes et au rythme effréné, beaucoup de choses risquent en effet de mal tourner.
Créez plutôt des protocoles limitant la quantité de données des titulaires de cartes stockées en interne et la durée de leur conservation. Ne conservez que les données dont vous et votre équipe avez besoin pour répondre aux exigences opérationnelles de fond.
En ce qui concerne les données obsolètes, vous devez établir des stratégies, des protocoles ainsi que des directives pour garantir leur suppression en toute sécurité.
En ce qui concerne les informations relatives aux titulaires de cartes qui doivent être conservées en interne, vous devez les protéger par une gestion appropriée des clés cryptographiques, un cryptage de bout en bout de la base de données et une documentation adéquate de tous vos protocoles de sécurité. C'est simple comme bonjour !
2. Cryptage des données des titulaires de cartes en transit
La Casa de Papel sur Netflix, ça vous dit quelque chose ? Bien sûr, quelle question ! Cette série culte en trois saisons nous rappelle que tout ce qui est en transit est toujours plus difficile à protéger que ce qui se trouve dans notre environnement physique immédiat. En réalité, dans la fiction, le professeur et son équipe ont presque toujours trouvé plus facile de voler de l'argent plutôt que de le transporter. Tout aurait pu arriver à leur argent « si durement gagné » !
C'est précisément la raison pour laquelle la section 3 de la norme PCI DSS est si stricte en matière de cryptage des données en transit.
La toute première chose à faire consiste à crypter toutes les données des titulaires de cartes afin d'éviter que des individus mal intentionnés ne s'en emparent lorsqu'elles traversent des réseaux publics ouverts mal sécurisés. Si vous hésitez, vous ne serez tout simplement pas en conformité avec la norme PCI DSS. Point final.
Cela dit, la transmission sécurisée des données des titulaires de cartes bancaires ne se fait pas par enchantement. Cela nécessite des clés et des certificats fiables, un cryptage renforcé et un transfert de fichiers sécurisé par le biais du protocole HTTPS et des protocoles AS1, AS2 et AS3.
Le FTP à lui seul ne fera pas l'affaire. Pour déplacer vos fichiers de manière sûre et efficace, optez pour le FTP sécurisé sur SSH2 (SFTP et SCP2) ou le FTP sur SSL (FTPS). À vous de jouer.
Quant au certificat et aux clés nécessaires, vous devrez vérifier qu'ils sont fiables, maintenus et gérés de manière appropriée.
3. Contrôle de l'accès aux données des titulaires de cartes
« Accès contrôlé » Hmm. Combien de fois avez-vous entendu ce qualificatif ? Même si cela peut paraître cliché, l'exigence 7 de PCI DSS ne prend aucun risque quant au respect des protocoles de contrôle d'accès.
Pour une conformité maximale, commencez par la base - assurez-vous que seules les personnes vérifiées peuvent accéder aux données des titulaires de cartes. Assurez-vous également que vous disposez des processus et des protocoles appropriés pour réglementer l'accès en fonction des tâches et des exigences commerciales.
La norme PCI DSS n’en préconise pas moins une stratégie d'accès contrôlé. Faites-le à un niveau granulaire, en définissant de manière exhaustive les différents rôles d'accès des utilisateurs dans votre entreprise (directeur technique, employé, etc.) et en déterminant à quelle partie de votre application (dans notre cas, la solution de transfert de fichiers sécurisé) ils peuvent accéder.
En fonction de votre écosystème, vous devrez peut-être aussi attribuer des droits d'accès « réduits » à tous les comptes d'utilisateur. Cela signifie que vous ne donnez à chaque partie qu'un accès suffisant au système ou au module dont elle a besoin pour remplir ses fonctions principales.
La documentation constitue un élément essentiel du système. Chaque fois qu'un utilisateur change de rôle interne, n'oubliez pas de documenter ce changement et d'adapter ses droits d'accès le cas échéant.
4. Développer et maintenir des systèmes et des applications sécurisés
Nous ne pouvions pas laisser de côté cet aspect de la PCI, pas vrai ?
Les mauvais joueurs ne cesseront jamais de chercher des failles de sécurité à exploiter. La sécurité doit donc être une initiative permanente au sein de tous vos environnements de transfert de fichiers virtuels ou managés.
C'est précisément la raison pour laquelle la PCI insiste tant sur la nécessité de déployer des correctifs de sécurité appropriés dans un délai déterminé. Il s’agit en effet de protéger l'environnement trop sensible des titulaires de cartes.
N'oubliez pas que cette réglementation s'applique à toutes les applications de votre environnement, et pas seulement à celles que vous avez développées en interne ou à celles que vous avez externalisées.
Assurez une conformité globale, de bout en bout, grâce à la solution de transfert de fichiers MOVEit.
La conformité à la norme PCI DSS peut représenter une charge de travail considérable lorsque vous travaillez dans un secteur extrêmement sensible tel que la santé ou la finance. Il y a trop de privilèges d'accès avec lesquels jongler, de (trop) nombreuses données de titulaires de cartes à sécuriser (tant au repos qu'en transit) et pas moins de douze exigences de haut niveau à respecter.
Fort heureusement, vous n'avez plus besoin de surveiller vos arrières, grâce à l'outil de transfert de fichiers sécurisé MOVEit tout puissant et hautement évolutif. En résumé : protéger les données stockées des titulaires de cartes ? C'est fait. Construire et maintenir un réseau sécurisé ? C’est fait aussi. Assurer la conformité PCI ? C’est fait également, ça coule de source. MOVEit vous débarrasse des tracas et des difficultés liés à la conformité PCI DSS, faisant de l'ensemble du processus un véritable jeu d’enfant.
MOVEit s'appuie sur les protocoles FTP, SSL/TLS et HTTPS pour sécuriser les données des titulaires de cartes en transit. Au repos, MOVEit utilise le logiciel cryptographique MOVEit Crypto pour stocker les données en toute sécurité. Notre logiciel rend également possible l'attribution spécifique d'autorisations d'accès au protocole, l'attribution d'autorisations de dossier, des restrictions d'adresse IP ainsi que d'autres privilèges limités. Vous n'avez plus à vous demander qui accède à quelles données des titulaires de cartes ni à quel moment. Tout est accessible d'un simple clic.
Par ailleurs, si vous avez besoin d'établir une connexion sécurisée par laquelle les données sensibles peuvent passer de votre système interne au monde extérieur, MOVEit Automation a tout prévu.
Vous pensez que nous pouvons vous convenir ? Commencez dès aujourd'hui par un essai gratuit et laissez vos données professionnelles changer de mains de la manière la plus sûre et la plus transparente possible !