La norme PCI DSS est structurée en six principes directeurs comprenant douze exigences de sécurité. Ces exigences décrivent les contrôles et les pratiques nécessaires pour protéger les données des comptes de cartes de paiement et se conformer à la norme PCI DSS. Le respect de la norme PCI DSS signifie que votre entreprise a mis en place les pratiques et contrôles applicables décrits dans les douze exigences de sécurité.
La norme PCI DSS et ses exigences en matière de sécurité peuvent être consultées à l’adresse suivante : https://www.pcisecuritystandards.org/lang/fr-fr/.
Les douze exigences ainsi que les six principes directeurs sont les suivants :
Créer et Maintenir un Réseau et des Systèmes Sécurisés
Exigence 1 : Installer et maintenir des contrôles de sécurité du réseau
Exigence 2 : Appliquer des configurations sécurisées à tous les composants du système
Protéger les Données de Carte
Exigence 3 : Protéger les données stockées des comptes
Exigence 4 : Protéger les données des titulaires de carte par une cryptographie forte lors de leur transmission sur des réseaux ouverts et publics
Maintien d’un programme de gestion de la vulnérabilité
Exigence 5 : Protéger tous les systèmes et réseaux contre les logiciels malveillants
Exigence 6 : Développer et maintenir des systèmes et des logiciels sécuritaires
Mise en œuvre de fortes mesures de contrôle des accès
Exigence 7 : Restreindre l’accès aux composants du système et aux données des titulaires de carte aux personnes qui en ont besoin dans le cadre de leur travail
Exigence 8 : Identifier les utilisatrices et utilisateurs et authentifier l’accès aux composants du système
Exigence 9 : Restreindre l’accès physique aux données des titulaires de carte
Surveillance et tests réguliers des réseaux
Exigence 10 : Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de carte
Exigence 11 : Tester régulièrement la sécurité des systèmes et des réseaux
Maintien d’une politique de sécurité de l’information
Exigence 12 : Soutenir la sécurité de l’information par des politiques et des programmes organisationnels