Quels sont les principaux changements dans les documents de validation PCI DSS v4.0 ?

Changements dans les documents de validation PCI DSS v4.0

Si vous utilisez la solution chiffrée d'Adyen telle que l'intégration des paiements en ligne ou l'intégration des paiements en personne, vous trouverez ci-dessous les principaux changements apportés par la nouvelle version de la norme PCI DSS. Ces exigences s'appliquent aux marchands qui acceptent les paiements par carte bancaire et qui sont évalués selon la version 4.0 de la norme PCI DSS.

SAQ A

• Nouveau mot de passe et exigences élargies en matière d'authentification multifactorielle (exigence 8) : l'authentification multifactorielle est fortement recommandée pour tous les composants du système afin de fournir une couche de sécurité supplémentaire permettant d'éviter la compromission des données de compte. Toutefois, lorsque l'authentification multifactorielle n'est pas mise en œuvre et que le mot de passe/la phrase de passe est utilisé(e) comme seule méthode de connexion, cet élément doit être modifié au moins une fois tous les quatre-vingt-dix jours. Les marchands peuvent également adopter une approche personnalisée en autorisant l'accès aux composants du système au cas par cas, en fonction de la configuration de sécurité de ces comptes.
• Sensibilisation à la sécurité (exigence 6) : les marchands sont tenus de se tenir au courant des alertes ou des informations sur les nouvelles failles de sécurité diffusées par les centres d’alerte et de réaction aux attaques informatiques (CERT) internationaux et locaux. 
• Analyses trimestrielles des vulnérabilités externes (exigence 11) : les marchands qui acceptent des paiements en ligne sont tenus de mettre en œuvre ou de documenter des politiques et des procédures exigeant des analyses de vulnérabilité externes par des fournisseurs d'analyses agréés PCI SSC au moins une fois tous les trois mois et après tout changement important dans l'environnement de paiement. Bien que quatre analyses réussies en l'espace de 12 mois ne soient pas exigées dans un premier temps, les années suivantes, des contrôles réussis devront être effectués au moins tous les trois mois. Cette exigence entre en vigueur immédiatement.

SAQ BIP pour le paiement en personne (IPP)

• Mise à jour de sécurité pour les appareils IPP (exigence 6) : si le marchand contrôle les mises à jour installées sur le terminal de paiement, les correctifs de sécurité doivent être gérés et installés en fonction de la gravité et de l'impact de la vulnérabilité identifiée.

SAQ B-IP pour MOTO sur un appareil IPP

• Mise à jour de sécurité pour les appareils IPP (exigence 6) : si le marchand contrôle les mises à jour installées sur le terminal de paiement, les correctifs de sécurité doivent être gérés et installés en fonction de la gravité et de l'impact de la vulnérabilité identifiée.
• Contrôle d'accès (exigence 7) : cette exigence limite l'accès temporaire aux données du titulaire de la carte dans le flux de paiement MOTO en fonction de la classification et de la fonction des employés. Il est important que les droits d'utilisateur ne soient attribués qu'aux personnes qui en ont besoin pour effectuer leur travail.

SAQ C-VT pour MOTO sur un appareil IPP

• Contrôle d'accès (exigence 7) : comme pour MOTO sur les appareils IPP, cette exigence pour MOTO via des terminaux virtuels limite l'accès temporaire aux données des titulaires de cartes dans le flux de paiement MOTO en fonction de la classification et de la fonction des employés. Il est important que les droits d'utilisateur ne soient attribués qu'aux personnes qui en ont besoin pour effectuer leur travail.

Changements à venir

Les exigences suivantes constituent une bonne pratique jusqu'au 31 mars 2025 et peuvent être considérées comme « non applicables » dans l'évaluation du marchand. Elles n'entrent pleinement dans le champ d'application qu'avec les évaluations réalisées après cette date. 

SAQ A

• Nouvelle exigence en matière de mot de passe : contrairement à l'exigence minimale de 7 caractères de la version 3.2.1, la longueur minimale de 12 caractères (ou SI le système ne prend pas en charge 12 caractères, une longueur minimale de huit caractères) contenant à la fois des caractères numériques et alphabétiques serait requise pour les composants du système.
• Contrôler l'intégrité du contenu de la page de paiement (exigences 6 et 11) : pour réduire le risque d'attaques man-in-the-middle, les marchands sont tenus de mettre en place une procédure (telle qu'un mécanisme/technologie de détection des changements/altérations) pour contrôler/confirmer l'intégrité de l'en-tête HTTP de la page de paiement et des scripts - notamment les contenus incluant des inline frames/iFrames d'un TPSP, exécutés sur le site/application Web des marchands. 

Pour plus d'informations sur la transition vers la version 4.0 de la PCI DSS, consultez le guide de conformité à la PCI DSS et l'article de blog sur la conformité à la version 4.0 de la PCI DSS d'Adyen.