Comment garantir la conformité PCI de votre SFTP
La conformité PCI avec SFTP est un excellent point de départ pour devenir conforme. Si vous utilisez actuellement FTP, vous voudrez peut-être envisager un changement pour éviter d’éventuels risques.
Le SFTP est-il conforme à la PCI ? Oui, le SFTP peut être conforme à la PCI. Le SFTP peut répondre aux exigences de la PCI DSS tant que certains protocoles sont mis en œuvre pour protéger les données de carte de crédit en cours de transfert.
Qu’est-ce que la conformité PCI et pourquoi est-elle importante ?
La PCI DSS est un cadre de conformité pour le traitement des paiements et la gestion des informations de carte de crédit et de débit. Développée et maintenue par le Conseil des normes de sécurité de l’industrie des cartes de paiement, la PCI définit les mesures de protection physiques, administratives et techniques que les détaillants et les commerçants doivent respecter pour traiter les cartes de crédit comme moyens de paiement.
Certaines réglementations de conformité, comme la HIPAA et la FedRAMP, sont exigées par la loi pour certaines industries. La PCI, cependant, n’a pas la force de la loi derrière elle. Au lieu de cela, elle s’appuie sur les réseaux de cartes de crédit pour s’autoréguler les litiges et la conformité tout en infligeant des pénalités comme des amendes ou la révocation des capacités de traitement des paiements.
L’objectif principal du cadre est de garantir que les données des clients sont protégées contre le vol ou la divulgation lors du paiement. Les données privées des clients comprennent des éléments tels que :
- Noms des clients, numéros de téléphone et adresses
- Numéros de carte de crédit, dates d’expiration et codes de vérification CVC
- PIN, codes d’authentification et toute information contenue sur des bandes magnétiques ou des puces EMV
Avec cela à l’esprit, le cadre définit 12 exigences principales que votre organisation doit avoir en place pour gérer correctement les données des utilisateurs. Bien que toutes ne s’appliquent pas à toutes les technologies, en ce qui concerne le stockage et les transferts de fichiers, il y en a quelques-unes critiques, notamment :
- Protéger les données de carte de crédit stockées
- Chiffrer les transmissions de données sur les réseaux publics
- Suivre et surveiller tous les accès aux ressources réseau et aux données
- Développer et maintenir des applications sécurisées
Au cours des dernières décennies, des technologies de plus en plus complexes et des points de vente ont changé la manière dont les gens achètent. Alors qu’autrefois, ce type de technologie pouvait se concentrer sur les machines de point de vente, les scanners de cartes et les serveurs sur site, les consommateurs font désormais leurs achats en ligne, achètent des services d’abonnement et utilisent des appareils mobiles.
À cause de cela, les réseaux de cartes définissent maintenant des contrôles de sécurité qui permettent aux commerçants de traiter les paiements via des portails en ligne et des appareils mobiles (y compris l’authentification multifactorielle qui utilise des biométries intégrées comme les scans d’empreintes digitales et la reconnaissance faciale). Cela signifie à son tour que les données des clients sont stockées, transmises et utilisées de diverses manières, y compris à des fins commerciales.
Comment la conformité PCI DSS protège-t-elle vos transferts de fichiers ?
La conformité PCI DSS aide à protéger vos transferts de fichiers en obligeant les organisations à prendre des mesures de sécurité spécifiques pour protéger les données des titulaires de carte. Ces étapes incluent le chiffrement des transmissions de données de titulaires de carte sur des réseaux ouverts et publics ; l’utilisation de pare-feu pour protéger les données des titulaires de carte ; la surveillance et les tests réguliers des réseaux ; la mise en œuvre de contrôles d’accès pour prévenir l’accès non autorisé aux données des titulaires de carte ; et l’évaluation régulière des réseaux pour identifier et traiter les vulnérabilités. Les organisations qui se conforment à la norme doivent également s’assurer que tous les prestataires de services, fournisseurs et agents tiers sont conformes. En prenant ces mesures, les organisations peuvent mieux protéger leurs données de titulaires de carte et les données de leurs clients.
Quelle devrait être la sécurité du partage de fichiers pour la PCI DSS?
Le partage de fichiers sécurisé doit respecter les exigences de la PCI DSS. Ces exigences comprennent l’utilisation d’un chiffrement conforme à la PCI, des méthodes d’authentification sécurisées, des connexions réseau sécurisées, la capacité d’auditer et de suivre l’accès, et la capacité de restreindre l’accès uniquement aux utilisateurs qui ont besoin d’accéder aux données. Le partage de fichiers conforme à la PCI DSS doit également démontrer que les données sont stockées de manière sécurisée et que l’intégrité des données est maintenue. Enfin, la capacité de supprimer les données lorsqu’elles ne sont plus nécessaires doit également faire partie intégrante du système.
Quand devez-vous inclure votre système de transfert de fichiers dans votre périmètre PCI?
Le périmètre PCI est le terme utilisé pour décrire l’étendue et les zones d’une organisation où s’applique la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Le périmètre PCI est déterminé par le nombre, le type et l’emplacement des composants du système qui stockent, traitent ou transmettent les données des titulaires de carte. Les exemples de composants de système comprennent les serveurs, les points d’extrémité, les pare-feu et les bases de données. Tous les composants du système qui sont dans le périmètre de la PCI DSS doivent respecter les exigences de la norme pour être conformes.
Une fois que les organisations ont identifié leur périmètre PCI, elles peuvent planifier comment elles démontreront leur conformité. Les exemples incluent la mise en œuvre de mesures de sécurité des données telles que le chiffrement et la tokenisation, la réalisation de scans de vulnérabilité réguliers, et l’établissement de mesures de contrôle d’accès pour restreindre l’accès uniquement au personnel autorisé. Elles doivent également auditer les journaux système et maintenir à jour les diagrammes de réseau pour fournir une visibilité de tous les composants du système dans le périmètre de la PCI DSS. De plus, les organisations doivent fournir une formation au personnel sur les politiques et procédures de sécurité, et tester régulièrement leur plan d’intervention en cas d’incident.
Conformité PCI et sécurité SFTP
Lorsque votre entreprise utilise des données client en interne pour une raison quelconque, elle doit toujours respecter les règles et régulations de traitement des paiements. Et, généralement, les entreprises utilisent des solutions de partage de fichiers conformes à la PCI comme SFTP.
Heureusement, le SFTP peut faire partie d’une solution conforme à la PCI car il fournit les contrôles nécessaires :
- Chiffrement : Les données client doivent être chiffrées dans le serveur et pendant la transmission. Le SFTP offre ce niveau de chiffrement (avec la bonne configuration). Avec l’utilisation de SSH, un serveur SFTP correctement configuré peut protéger les données des clients.
- Journalisation des données du serveur et audits : Une partie de la conformité PCI consiste à avoir une journalisation des données et des audits en place. Selon les exigences de la PCI, vous devez surveiller l’accès aux données. Cela inclut la mise en place d’une politique d’audit et des moyens de retracer les journaux d’audit en cas de violations.
- Restriction de l’accès aux données : Tout le monde dans votre organisation n’a pas besoin d’accéder aux données des titulaires de carte. Les régulations stipulent que vous devez avoir un moyen de restreindre les comptes d’utilisateurs en fonction des données auxquelles ils ont besoin d’accéder.
- Standardisation des connexions entre les machines : Les réseaux de cartes s’attendent à ce que vous ayez toutes ces protections (et plus encore) présentes à tout endroit où les données sont en mouvement ou stockées. Le SFTP est une technologie établie, facile à utiliser et à configurer qui peut fonctionner entre les machines POS, les scanners de cartes, les serveurs et les postes de travail.
Quelle est la différence entre le SFTP et le FTPS?
Vous pouvez voir certaines solutions annoncer à la fois le SFTP et le FTPS dans le cadre de leur package de chiffrement. Les deux sont décrits comme des protocoles FTP sécurisés, et bien que ces technologies aient quelques points communs, il y a aussi quelques différences clés entre les deux:
- Le FTPS est un FTP avec la technologie Secure Socket Layers (SSL) ajoutée. Cela signifie que vous utilisez essentiellement le FTP sur une connexion sécurisée (SSL) avec tout ce que cela implique, y compris plusieurs connexions de sockets séparées et des mots de passe et des certificats requis. Cela signifie également que le FTPS peut ne pas bien fonctionner avec un pare-feu spécialement personnalisé.
- Le SFTP utilise la technologie Secure Shell (SSH) pour le chiffrement. Cela signifie que le SFTP n’est pas simplement un FTP avec une sécurité ajoutée–c’est une méthode de transfert de fichiers sécurisé entièrement distincte du FTP. Cela inclut la capacité de transférer des données sur une seule connexion–et cela signifie une adoption et une intégration plus simples avec des systèmes de sécurité complexes qui incluent des pare-feu.
Ces deux protocoles peuvent être utilisés dans le cadre d’un système sécurisé et conforme. Cependant, lorsqu’on travaille avec plusieurs besoins de sécurité et exigences de conformité, SFTP peut simplifier la sécurisation de vos applications et leur intégration dans votre système.
Quelles sont les pénalités pour non-conformité à la PCI ?
Comme la norme PCI DSS n’est pas un cadre imposé par le gouvernement fédéral, vous n’allez pas faire face aux pénalités extrêmes d’autres réglementations de conformité. Cependant, la non-conformité peut vous coûter cher et nuire à votre réputation auprès des clients et des sociétés de cartes de crédit. Certaines des pénalités sont :
- Un système non sécurisé : La PCI est destinée à promouvoir la sécurité du système. Si vous ne respectez pas le strict minimum des exigences de conformité, vous pourriez exposer les données de vos clients au vol.
- Amendes mensuelles : Si vous voulez traiter des cartes de crédit, vous avez besoin du soutien de processeurs de cartes de crédit comme Visa, Mastercard et American Express. Si vous n’êtes pas en conformité, ils prendront quelques mesures avant de vous interdire purement et simplement de traiter les paiements. Cela comprend l’imposition de frais mensuels tant que dure la non-conformité, jusqu’à 5 000 à 100 000 $ par mois.
- Détérioration du compte marchand et de la réputation auprès des clients : Si vous n’êtes pas en conformité, vous pourriez faire face à de nombreuses violations. Comme nous le savons tous à partir d’exemples comme Target ou Sony, une violation majeure peut porter un coup énorme à l’image de votre marque. De même, la non-conformité régulière peut affecter votre compte marchand auprès des processeurs de cartes de crédit en raison d’un taux élevé de fraude et de rétrofacturations.
En définitive, vous ne voulez pas nuire à votre réputation ou payer des amendes mensuelles simplement pour traiter les données de carte sans systèmes conformes.
Kiteworks aide les organisations à transférer les fichiers de manière sécurisée et en conformité avec la PCI
Le serveur SFTP conforme à la PCI de Kiteworks aide les organisations à protéger les numéros de carte de crédit et autres informations de compte client lorsqu’elles les partagent avec des tiers de confiance.
Contrairement à d’autres solutions SFTP, l’option SFTP de Kiteworks est entièrement intégrée à la plateforme Kiteworks. Cela signifie qu’elle bénéficie des fonctionnalités de sécurité, de conformité et de visibilité intégrées de la plateforme. Elle offre également des options de déploiement sur site et dans le cloud, et prend en charge les configurations à grande échelle et à haute disponibilité. L’infrastructure unifiée de Kiteworks, les contrôles d’administration, les politiques, la journalisation et les fonctionnalités d’audit simplifient la conformité et réduisent les coûts. C’est un différenciateur clé car toutes les solutions SFTP ne fournissent pas de telles capacités de conformité et d’audit complètes.
Les fonctionnalités SFTP de Kiteworks comprennent :
- Sécurité et conformité : Nos systèmes permettent de respecter les 12 exigences de la PCI, ce qui signifie que vous pouvez utiliser nos technologies MFT et SFTP (y compris les transferts de fichiers chiffrés et les serveurs sécurisés) pour le partage et le stockage de fichiers conformes à la PCI. Ses appliances virtuelles durcies vous font gagner du temps et des efforts pour durcir et tester le système vous-même.
- Visibilité et gestion des données : Notre tableau de bord CISO vous donne une vue d’ensemble de vos données : où elles se trouvent, qui y a accès, comment elles sont utilisées et si elles sont conformes. Aidez vos dirigeants d’entreprise à prendre des décisions éclairées et vos responsables de la conformité à maintenir les exigences réglementaires.
- Journalisation des audits : La norme PCI DSS exige la journalisation des événements dans votre système. Avec les journaux d’audit immuables de la plateforme Kiteworks, ayez confiance dans le fait que vous pouvez détecter les attaques plus tôt et que vous maintenez la bonne chaîne de preuves pour effectuer des analyses judiciaires. Comme le système fusionne et standardise les entrées de tous les composants, son syslog unifié et ses alertes font gagner un temps précieux à votre équipe SOC tout en vous aidant à maintenir les exigences de conformité critiques pour les rapports.
Pour en savoir plus sur le SFTP de Kiteworks et comment il peut aider votre organisation à démontrer sa conformité à la PCI, planifiez une démonstration personnalisée de Kiteworks aujourd’hui.
Ressources supplémentaires
- Glossaire Aperçu de la conformité PCI
- Article de blog Quelle est la sécurité de SFTP ?
- Article de blog Quelles sont les exigences de conformité PII ?
- Article de blog Que rechercher dans une solution de serveur SFTP d’entreprise
- Glossaire La différence entre SFTP et FTPS