Clarification des nouveautés apportées par la version 3.2 du standard PCI DSS

Comme annoncé au mois d’avril dernier, la nouvelle version du standard PCI DSS a vu le jour. Nous vous proposons un bref tour d’horizon sur les changements ayant été opérés.

La version 3.2 du PCI DSS a été publiée le 28 avril 2016. Cette version mineure comprend des clarifications de certaines exigences, à savoir une revue du vocabulaire utilisé (wording), des explications supplémentaires sur certaines exigences (guidance), et enfin des ajouts ou des modifications des exigences existantes.

Voici un résumé des changements apportés par cette version 3.2 :

• L’affichage d’un PAN non masqué (à savoir si plus des 6 premiers et 4 derniers caractères sont affichés) doit désormais être justifié par un besoin métier.
• Un document doit désormais décrire l’architecture de chiffrement en place pour la protection des CHD (CardHolder Data).
• La procédure de gestion du changement doit être enrichie afin d’y inclure des points de contrôle à vérifier en cas de changement significatif, et ce, afin de s’assurer que l’ensemble des exigences est encore respecté suite à ce changement.
• Une authentification multifacteur est désormais obligatoire pour tout accès distant au CDE, mais également pour tout accès d’administration non-console au CDE. Ainsi, tout accès SSH, GUI ou applicatif aux serveurs et aux équipements réseau du CDE doit être effectué au travers d’une authentification multi facteur préalable.
• Une procédure de détection des dysfonctionnements critiques des éléments de sécurité doit désormais être mise en place.
• Les tests d’intrusion sur les points de segmentation sont désormais à réaliser tous les 6 mois et à chaque changement.
• Une personne responsable du programme de conformité PCI DSS doit être clairement identifiée
• Une revue trimestrielle doit être effectuée afin de s’assurer que les employés suivent bien la politique de sécurité.

On retrouve ainsi 47 clarifications, 3 « additionnal guidance » ainsi que 8 évolutions des exigences au total.
Concernant la migration de TLS 1.0, une annexe spécifique a été ajoutée (A2). Les nouvelles implémentations doivent désactiver TLS1.0 et SSL V3.
Les PoS/PoI peuvent continuer d’utiliser des versions obsolètes de SSL et TLS dans le cas où il est prouvé qu’aucune vulnérabilité n’est exploitable dans leur contexte.

Pour les services provider, TLS1.1 et/ou 1.2 doivent être proposés après le 30 juin 2016. TLS1.0 peut encore être utilisé en cas de besoin précis dans les termes du point suivant.
La date butoir de migration a été repoussée au 30 juin 2018. Après cette date, à l’exception des PoS/PoI, plus aucun chiffrement faible ne devra être accepté. En attendant le 30 juin 2018, un plan d’atténuation des risques et de migration devra être fourni et validé par le QSA.

Une seconde annexe appelée « Designated Entities Supplemental Validation (DESV) » a également été ajoutée. Celle-ci peut s’appliquer sur demande de l’acquéreur ou de la marque de carte.

Tous les documents (standard, SAQ, AOC, etc.) sont disponibles à l’adresse suivante :
https://fr.pcisecuritystandards.org/document_library