La protection des données des clients est essentielle pour toute entreprise acceptant des informations de paiement en ligne. La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), créée par les principales sociétés de cartes de crédit, établit les meilleures pratiques pour protéger les informations des consommateurs. En adhérant à ces normes, les entreprises peuvent s’assurer que les informations personnelles et financières de leurs clients sont sécurisées.
Les normes de sécurité PCI DSS s’appliquent à toute entreprise qui traite, stocke ou transmet des informations de carte de crédit. Le non-respect de la norme PCI DSS peut entraîner des amendes et des pénalités coûteuses de la part des sociétés de cartes de crédit. Cela peut également entraîner une perte de confiance des clients, ce qui peut être dévastateur pour toute entreprise.
PCI DSS 4.0 a été publié en mars 2022 et remplacera la norme PCI DSS 3.2.1 actuelle en mars 2025. Cela offre une période de transition de trois ans pour que les organisations soient conformes à la version 4.0.
La dernière version de la norme mettra l’accent sur un domaine de sécurité négligé mais d’une importance cruciale. Pendant longtemps, les menaces côté client, qui impliquent des incidents de sécurité et des failles qui se produisent sur l’ordinateur du client plutôt que sur les serveurs de l’entreprise ou entre les deux, ont été ignorées. Mais cela change avec la sortie de PCI DSS 4.0. Maintenant, de nombreuses nouvelles exigences se concentrent sur sécurité côté client.
Par exemple, l’exigence 6.3.2 impose désormais aux entreprises d’identifier et de répertorier tous leurs logiciels, y compris tout logiciel tiers intégré dans leur environnement. L’exigence 6.3.3 nécessite des mises à jour pour les vulnérabilités connues à l’aide des correctifs de sécurité et des mises à jour disponibles. L’exigence 6.4.1 demande aux entreprises de faire face aux nouvelles menaces et vulnérabilités associées aux applications Web destinées au public et de traiter toutes les menaces connues.
De plus, l’exigence 6.4.2 stipule que les applications Web automatisées destinées au public doivent être correctement configurées pour détecter et empêcher les attaques Web. Il note également que les configurations doivent être en cours d’exécution, à jour et capables de bloquer les attaques ou de générer des alertes indiquant un problème potentiel. Enfin, l’exigence 6.4.3 exige que les organisations autorisent tous les scripts chargés et exécutés dans le navigateur d’un client.
De plus, les sections 11 et 12 ont des implications pour la sécurité côté client, y compris l’identification, la hiérarchisation et le traitement des vulnérabilités externes et internes et la détection et la réponse aux intrusions sur le réseau et aux modifications de fichiers inattendues.
Les exigences incluses dans PCI DSS 4.0 pourraient faire beaucoup pour aider à améliorer sécurité côté client. Bien que les contrôles de sécurité traditionnels, tels que les pare-feu d’applications Web, protègent contre certaines menaces en ligne, ils n’étendent pas la couverture au navigateur du client. Par conséquent, les logiciels malveillants d’écrémage sophistiqués, les attaques de chaîne d’approvisionnement, les attaques de chargement latéral et de chargement en chaîne ne sont souvent pas détectés, ce qui rend les entreprises vulnérables.
Alors qu’un politique de sécurité du contenu peut aider à assurer la conformité, en créer et en maintenir une sans automatisation n’est possible que si vos applications Web et l’utilisation de votre site Web restent stables. Dans les environnements dynamiques, un CSP échoue souvent et il peut être impossible de déterminer pourquoi il a échoué en raison de l’absence d’une solution fonctionnelle.
Pour se conformer à la prochaine norme PCI DSS 4.0, les entreprises doivent commencer à apporter des modifications. Cela inclut de déterminer les actifs Web dont ils disposent et d’où ils proviennent, d’examiner le code et de suivre les meilleures pratiques définies par PCI 4.0. Cela pourrait poser un problème pour les grandes entreprises avec des milliers de lignes de scripts en cours d’utilisation. Pour ces entreprises, allouer du temps pour passer au crible et étiqueter les lignes de code peut prendre des milliers d’heures.
Dans ce sens, les entreprises devraient envisager d’utiliser des solutions de sécurité modernes pour les aider à se conformer à la norme PCI 4.0. Politiques de sécurité de contenu automatisées peut détecter tous les scripts propriétaires et tiers, les ressources numériques et les données auxquelles ils peuvent accéder. Ils peuvent ensuite générer des politiques de sécurité de contenu pertinentes. Les organisations peuvent également arrêter les activités Web non autorisées ou indésirables, telles que le blocage de l’exportation des données de titulaire de carte, par exemple, en utilisant outils de suivi et de gestion.
Les modifications apportées à la version 4.0 de PCI DSS signifient que les entreprises en ligne doivent prendre des mesures supplémentaires pour garantir la sécurité des données de leurs clients. Les entreprises qui souhaitent garder une longueur d’avance sur la courbe de conformité doivent commencer à apporter des changements dès maintenant, notamment en s’attaquant aux risques de sécurité omniprésents côté client avant que les attaquants ne puissent les exploiter.