Quels sont les principaux changements dans les documents de validation PCI DSS v4.0 ?
Changements dans les documents de validation PCI DSS v4.0.1
Si vous utilisez la solution chiffrée d'Adyen telle que l'intégration des paiements en ligne ou l'intégration des paiements en physique, voici les principaux changements de la dernière version de la norme PCI DSS. Ces exigences s'appliquent aux marchands qui acceptent les paiements par carte bancaire et qui sont évalués selon la version 4.0.1 de la norme PCI DSS.
SAQ A
- Nouveau mot de passe et exigences élargies en matière d'authentification multifactorielle (exigence 8) : l'authentification multifactorielle est fortement recommandée pour tous les composants du système afin de fournir une couche de sécurité supplémentaire permettant d'éviter la compromission des données de compte. Toutefois, lorsque l'authentification multifactorielle n'est pas mise en œuvre et que le mot de passe/la phrase de passe est utilisé(e) comme seule méthode de connexion, cet élément doit être modifié au moins une fois tous les quatre-vingt-dix jours. Les marchands peuvent également adopter une approche personnalisée en autorisant l'accès aux composants du système au cas par cas, en fonction de la configuration de sécurité de ces comptes.
- Sensibilisation à la sécurité (exigence 6) : les marchands sont tenus de se tenir au courant des alertes ou des informations sur les nouvelles failles de sécurité diffusées par les centres d’alerte et de réaction aux attaques informatiques (CERT) internationaux et locaux.
- Analyses trimestrielles des vulnérabilités externes (exigence 11) : les marchands qui acceptent des paiements en ligne sont tenus de mettre en œuvre ou de documenter des politiques et des procédures exigeant des analyses de vulnérabilité externes par des fournisseurs d'analyses agréés PCI SSC au moins une fois tous les trois mois et après tout changement important dans l'environnement de paiement. Bien que quatre analyses réussies en l'espace de 12 mois ne soient pas exigées dans un premier temps, les années suivantes, des contrôles réussis devront être effectués au moins tous les trois mois. Cette exigence entre en vigueur immédiatement.
SAQ BIP pour le paiement en personne (IPP)
-
Mise à jour de sécurité pour les appareils IPP (exigence 6) : si le marchand contrôle les mises à jour installées sur le terminal de paiement, les correctifs de sécurité doivent être gérés et installés en fonction de la gravité et de l'impact de la vulnérabilité identifiée.
SAQ B-IP pour MOTO sur un appareil IPP
- Mise à jour de sécurité pour les appareils IPP (exigence 6) : si le marchand contrôle les mises à jour installées sur le terminal de paiement, les correctifs de sécurité doivent être gérés et installés en fonction de la gravité et de l'impact de la vulnérabilité identifiée.
- Contrôle d'accès (exigence 7) : cette exigence limite l'accès temporaire aux données du titulaire de la carte dans le flux de paiement MOTO en fonction de la classification et de la fonction des employés. Il est important que les droits d'utilisateur ne soient attribués qu'aux personnes qui en ont besoin pour effectuer leur travail.
SAQ C-VT pour MOTO sur les terminaux virtuels
-
Contrôle d'accès (exigence 7) : comme pour MOTO sur les appareils IPP, cette exigence pour MOTO via des terminaux virtuels limite l'accès temporaire aux données des titulaires de cartes dans le flux de paiement MOTO en fonction de la classification et de la fonction des employés. Il est important que les droits d'utilisateur ne soient attribués qu'aux personnes qui en ont besoin pour effectuer leur travail.
Changements Ă venir
Les exigences suivantes concernent les évaluations effectuées après le 31 mars 2025.
SAQ A : Nouvelle exigence de mot de passe
Contrairement à l'exigence minimale de 7 caractères de la version 3.2.1, la longueur minimale de 12 caractères (ou SI le système ne prend pas en charge 12 caractères, une longueur minimale de huit caractères) contenant à la fois des caractères numériques et alphabétiques serait requise pour les composants du système.
SAQ D : Surveillance de l'intégrité du contenu de la page de paiement (exigences 6.4.3 et 11.6.1) :
Pour réduire le risque d'attaques man-in-the-middle, les marchands sont tenus de mettre en place une procédure (telle qu'un mécanisme/technologie de détection des changements/altérations) pour contrôler/confirmer l'intégrité de l'en-tête HTTP de la page de paiement et des scripts - notamment les contenus incluant des inline frames/iFrames d'un TPSP, exécutés sur le site/application Web des marchands.
Les exigences 6.4.3 et 11.6.1 ont été supprimées du champ d'application du SAQ A. Consultez les nouveaux critères d'éligibilité du SAQ A pour confirmer que Vous êtes éligible. Pour plus d'informations sur les dernières exigences de la norme PCI DSS, consultez le guide de conformité PCI DSS d'Adyen.
Cet article a-t-il été utile ?
Le guide de conformité à la norme PCI DSS
Trouvez un glossaire pratique et toutes les règles PCI DSS dans la documentation d'Adyen.
Consulter le guide de conformité