Une nouvelle exigence du SAQ A introduite par la version 3.2.1 du PCI DSS

Comme nous vous l’annoncions le mois dernier (https://blog-pci.xmco.fr/sortie-de-la-version-mineure-du-pci-dss-v321.html), une nouvelle version du PCI DSS a été publiée (17 mai 2018).

Alors que cette dernière avait été annoncée comme étant une version mineure du standard, un changement relativement majeur y a été inclus pour les entités qui s’appuient sur le SAQ A pour se certifier.

Le SAQ A est la version la plus simplifiée du standard. Il s’adresse aux marchands qui possèdent un site e-commerce dont les fonctionnalités de paiement ont été externalisées à un prestataire certifié, par le biais d’une redirection ou d’une iFrame.

Avec la version 3.2.1 du standard, le Council a décidé d’ajouter l’exigence 6.2 au SAQ A.

> 6.2.a Are all system components and software protected from known vulnerabilities by installing applicable vendor-supplied security patches?
> 6.2.b Are critical security patches installed within one month of release?

Ainsi, les e-commerçants éligibles au SAQ A devront dorénavant maintenir à jour l’eco-système de leur(s) site(s) e-commerce(s). De plus, les correctifs de sécurité jugés critiques devront être appliqués dans un délai d’un mois.

Cette exigence est applicable :

• Au système d’exploitation du serveur qui héberge le site e-commerce;
• Aux composants logiciels installés sur le serveur, ce qui inclut notamment le serveur web;
• Aux composants applicatifs sur lesquels repose l’application (ex: CMS, bibliothèques externes, etc).

Étrangement, le SAQ A n’inclut pas l’obligation d’avoir une procédure de veille en vulnérabilité (exigence 6.1). Cependant, selon XMCO, pour parvenir à appliquer les correctifs de sécurité critiques dans le délai d’un mois, il est obligatoire de les identifier au plus tôt. Sans une procédure de veille quotidienne, cette tâche semble difficile.

Avis de XMCO: Cette nouvelle exigence est une bonne chose, car elle couvre un risque qui n’était pas encore adressé jusqu’à présent.

Sans aller jusqu’à supplanter les exigences du SAQ A en imposant ce point, XMCO a toujours recommandé de maintenir l’environnement d’un site e-commerce à jour, et ce, même si les fonctions de paiement sont externalisées.

En outre, XMCO recommande également de :

• Réaliser un test d’intrusion, ou à minima, des scans de vulnérabilité. À noter que même si cela n’est pas imposé par le standard, certaines banques ou marques de carte peuvent demander un scan ASV à un e-commerçant éligible au SAQ A.
• De surveiller l’intégrité du composant en charge d’afficher ou de rediriger l’utilisateur vers la page de paiement, avec un outil de contrôle d’intégrité (i.e. FIM) normalement imposé par l’exigence 11.5.