Demandez une démo

Gestion efficace des risques liés aux tiers dans le cadre de la norme PCI DSS 4.0

PrevalentBrad Hibbert, COO et CSO, partage ses idées sur la conformité aux risques des tiers dans le secteur des cartes de paiement.
06 août 2024
Logo Security Boulevard

Note de l'éditeur : Cet article, rédigé par Brad Hibbert, COO et CSO de Prevalent, a été publié à l'origine sur www.securityboulevard.com.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) vise à améliorer la sécurité des transactions par carte de crédit, de débit et d'argent et à protéger les titulaires de cartes contre les violations de leurs données personnelles.

Depuis sa création en 2004 et la formation du Conseil en 2006 par Visa, Mastercard, Discover, JCB et American Express, la norme a été régulièrement révisée et les entreprises adaptent à nouveau leurs contrôles de sécurité pour s'y conformer. Cette fois, il s'agit de la version 4.0 qui, entre autres dispositions, exige une authentification multifactorielle plus stricte lors de l'accès aux environnements de données des titulaires de cartes, met à jour les exigences en matière de mots de passe et définit plus clairement les rôles et les responsabilités nécessaires pour chaque exigence.

En outre, la gestion des risques liés aux tiers est devenue une priorité absolue pour les entreprises en vertu des nouvelles lignes directrices. Étant donné que 61 % des entreprises ont signalé une violation de données de tiers au cours des 12 derniers mois, les entreprises devraient déjà se concentrer sur cette question.

Voici quelques conséquences importantes pour les entreprises qui souhaitent gérer les risques liés aux tiers conformément à la norme PCI DSS 4.0 :

1. Un contrôle préalable plus approfondi: La norme PCI DSS 4.0 recommande de renforcer les processus de diligence raisonnable lors de l'engagement de tiers. Les organisations doivent désormais évaluer plus rigoureusement les mesures de sécurité et le statut de conformité de leurs fournisseurs. Le processus de diligence peut inclure

  • Évaluation et sélection des fournisseurs
  • Évaluation de la sécurité
  • État de conformité
  • Vérification des antécédents
  • Évaluation et classification des risques
  • Audits initiaux

2. Contrôle continu: Les nouvelles lignes directrices soulignent l'importance d'un contrôle continu des fournisseurs tiers. Il est conseillé de procéder à des évaluations et à des examens réguliers pour s'assurer que les fournisseurs restent en conformité pendant toute la durée du contrat :

  • Évaluations régulières, y compris des examens annuels et des questionnaires sur la sécurité
  • Mesures et rapports de performance, y compris les rapports sur les incidents de sécurité et les rapports de conformité
  • Outils de surveillance automatisés, qui peuvent inclure la gestion des informations et des événements de sécurité (SIEM) et l'analyse des vulnérabilités.

3. Des contrats plus stricts: Les lignes directrices conseillent d'intégrer des clauses de conformité à la norme PCI DSS dans les contrats conclus avec des tiers. Les contrats doivent définir clairement les responsabilités et les obligations des fournisseurs en matière de sécurité.

  • Incorporer les clauses de la norme PCI DSS, y compris celles qui décrivent clairement :
  • Responsabilités en matière de sécurité: Définir les responsabilités en matière de sécurité de l'organisation et du fournisseur, y compris les exigences spécifiques de la norme PCI DSS auxquelles le fournisseur doit se conformer.
  • Vérification de la conformité: Stipuler le droit de l'organisation à vérifier la conformité du vendeur par le biais d'audits, d'évaluations et d'examens.
  • Gestion des incidents: Détailler les obligations du fournisseur en cas d'incident de sécurité, y compris les délais de notification, la coopération en matière d'enquête et les mesures correctives.
  • Responsabilité et indemnisation: Inclure des dispositions relatives à la responsabilité et à l'indemnisation afin de protéger l'organisation en cas de violation de la sécurité ou de non-respect des règles par le vendeur.
  • Traitement et protection des données: Spécifier comment les données des titulaires de cartes doivent être traitées, stockées et protégées par le fournisseur. Cela inclut le cryptage, les contrôles d'accès et les politiques de conservation des données.
  • Clauses de résiliation: Elles décrivent les conditions dans lesquelles le contrat peut être résilié pour cause de non-conformité ou de violation de la sécurité. Il s'agit notamment de dispositions relatives à la restitution ou à la destruction des données des titulaires de cartes en cas de résiliation.

4. Réponse aux incidents: Les fournisseurs doivent disposer de procédures de réponse aux incidents bien définies dans le cadre de la norme PCI DSS 4.0 et doivent se coordonner efficacement avec l'organisation contractante en cas de violation de données ou d'incident de sécurité.

5. Traitement sécurisé des données: Il est conseillé aux organisations de bien comprendre où et comment les données des titulaires de cartes sont traitées par des tiers. Les lignes directrices couvrent à la fois le flux et le stockage des données.

6. Évaluation des risques: les lignes directrices actualisées demandent que l'évaluation des risques par des tiers fasse partie intégrante de toutes les évaluations globales des risques.

7. Documentation despreuves: Les organisations doivent documenter de manière exhaustive toutes les activités de gestion des risques liés aux produits et services. Il s'agit notamment des documents relatifs à la diligence raisonnable, aux activités de contrôle, aux accords contractuels et à l'évaluation des risques liés aux fournisseurs tiers.

8. Sensibilisation et formation: Les normes révisées soulignent l'importance de veiller à ce que les fournisseurs tiers soient formés aux exigences de la norme PCI DSS. Cela inclut le personnel des fournisseurs.

En résumé, les organisations qui ont géré les risques liés aux tiers de manière réactive dans le passé doivent apprendre à être proactives pour prospérer à l'avenir.

Que peuvent donc faire les entreprises pour se conformer à la norme PCI DSS 4.0 ?

Plus de mesures concrètes

Il existe plusieurs bonnes pratiques à retenir lors de la création d'un système qui allègera le fardeau de l'évaluation de la sécurité des TPSP. Elles permettront d'économiser du temps et des efforts et de combler les lacunes de leurs pratiques en matière de sécurité. Il s'agit notamment de

  • Utiliser des modèles prédéfinis pour les évaluations des risques par des tiers, adaptés à la norme PCI DSS et à d'autres normes pertinentes.
  • Mettre en œuvre une gestion du flux de travail et des tâches afin de garantir des évaluations efficaces et cohérentes et un triage des risques en temps voulu.
  • Centraliser les résultats des évaluations et les mettre en corrélation avec les données en temps réel de cyber et de surveillance des violations de données afin de valider l'efficacité des contrôles de sécurité.
  • Fournir des recommandations intégrées de remédiation basées sur les résultats de l'évaluation afin d'assurer la résolution des risques en temps voulu.
  • Suivre et analyser en permanence les menaces externes, notamment en surveillant l'internet et le dark web pour détecter les menaces et vulnérabilités potentielles liées aux TPSP sur le site cyber .

Construire ou s'associer ?

Certaines organisations disposent des ressources internes nécessaires pour mettre à niveau leurs pratiques de sécurité afin de se conformer à la norme PCI DSS v4.0. Mais pour d'autres, il s'agit d'un effort herculéen qui nécessitera de trouver un partenaire en matière de sécurité et de gestion des risques.

La bonne nouvelle, c'est qu'il existe aujourd'hui des partenaires compétents. Un partenaire capable d'assurer une sécurité solide des PSTP fournira une plateforme centrale pour automatiser l'intégration, l'inventaire et la gestion de tous les fournisseurs de services tiers. Il établira des profils complets de tiers avec une mise à jour continue de cyber, des informations commerciales, financières, de conformité et de réputation.

Le bon partenaire peut également centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin de garantir que les principales exigences de sécurité sont incluses et appliquées. Il peut également automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des tiers, tout en suivant et en analysant en permanence les menaces externes qui pèsent sur les prestataires de services de transfert de technologie, afin de garantir l'identification et l'atténuation des risques en temps voulu.

L'utilisation des cartes de paiement en ligne sera plus sûre à l'avenir qu'elle ne l'a jamais été, et ce en grande partie grâce à la mise en œuvre des exigences de la norme PCI DSS par l'ensemble des entreprises.

Toutefois, les entreprises qui ne disposent pas des ressources nécessaires pour procéder aux changements requis ne doivent pas craindre les exigences. Elles peuvent établir les partenariats nécessaires pour gérer les risques auxquels sont exposées leur organisation et les nombreuses tierces parties qui les aident à fonctionner.