Partage de fichiers conforme à la norme PCI – Exigences et Conformité
Vous recherchez une solution de partage de fichiers conforme à la norme PCI ? Les risques de non-conformité sont importants, y compris la perte de la capacité d’accepter les paiements par carte de crédit.
Le SFTP est-il conforme à la norme PCI ? SFTP peut être conforme à la norme PCI si la sécurité et le cryptage de SFTP sont définis aux niveaux appropriés. Sinon, si les normes de cryptage ne sont pas respectées, votre SFTP ne sera pas conforme à la norme PCI.
Que signifie être conforme à la norme PCI DSS ?
PCI DSS est un cadre destiné à prendre en charge toute personne acceptant des paiements par carte de crédit ou de débit. Appliquée par un consortium de processus de cartes de crédit comme Visa, Mastercard et American Express, la norme PCI DSS n’est pas obligatoire au niveau national, mais fait plutôt partie intégrante du traitement de tout paiement par carte de crédit.
PCI DSS comprend 12 exigences couvrant la sécurité, qui sont :
- Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte
- N’utilisez pas les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité
- Protégez les données de titulaire de carte stockées
- Crypter la transmission des données des titulaires de carte sur des réseaux publics ouverts
- Utiliser et mettre à jour régulièrement des logiciels ou programmes antivirus
- Développer et maintenir des systèmes et des applications sécurisés
- Restreindre l’accès aux informations sur les titulaires de carte selon les besoins de l’entreprise
- Attribuez un identifiant unique à chaque personne ayant accès à un ordinateur
- Restreindre l’accès physique aux informations du titulaire de la carte
- Suivez et surveillez tous les accès aux ressources du réseau et aux données des titulaires de cartes
- Tester régulièrement les systèmes et processus de sécurité
- Maintenir une politique qui traite de la sécurité des informations pour tout le personnel
Les commerçants, les détaillants et les équipes de vente sont souvent les plus préoccupés par la PCI, et d’autres entreprises qui acceptent les paiements mais qui ne sont pas des commerçants emploieront souvent des processeurs de paiement tiers qui sont eux-mêmes conformes à la norme PCI DSS. Les banques qui émettent des cartes de crédit sous-traitent souvent le traitement des transactions et exigent les plus hauts niveaux de conformité PCI de la part du sous-traitant.
Comment cela affecte-t-il le partage de données ? Étant donné que PCI DSS protège les données des clients grâce à la sécurité et à la gestion des risques, cela s’applique à tout système qui stocke ces données pour le traitement des paiements à des fins financières. Cela peut inclure le partage de données dans le cadre d’une transaction financière ou l’utilisation continue des données de paiement pour traiter les services d’abonnement récurrents.
Comment devenir conforme à la norme PCI
PCI DSS signifie Payment Card Industry Data Security Standard, et il s’agit d’un ensemble de normes créées par les principales sociétés de cartes de crédit pour protéger les données sensibles de leurs clients. Devenir conforme à la norme PCI DSS est un processus en plusieurs étapes qui nécessite un examen complet de vos systèmes et processus existants.
La première étape consiste à identifier les types de cartes de paiement que vous acceptez et la manière dont les transactions sont traitées. Cela nécessite une évaluation de toutes les différentes parties de votre système, y compris les logiciels, le matériel et les réseaux. Une fois que vous savez où les données sensibles sont stockées et comment elles circulent dans votre système, vous pouvez alors commencer à rechercher quelles exigences PCI DSS s’appliquent.
L’étape suivante consiste à évaluer la conformité de vos systèmes existants avec la norme PCI DSS. Cela nécessite généralement un examen de tout le matériel, des logiciels et des processus qui font partie de votre système. Il est important de rechercher les faiblesses de votre système et les zones où le système ne répond pas aux exigences de la norme PCI DSS.
Une fois l’examen terminé, vous pouvez alors commencer à mettre en œuvre les modifications requises pour vous assurer que votre système répond aux exigences de la norme PCI DSS. Cela peut aller de la mise à niveau du matériel et des logiciels à la mise en œuvre de mesures de sécurité supplémentaires, telles que des pare-feu ou le cryptage. Vous devrez également vous assurer que vous avez mis en place une politique de sécurité des données, qui décrit comment vous protégerez les données des clients et comment réagir en cas de violation de données.
Une fois toutes les modifications mises en œuvre, vous devrez les tester et les surveiller pour vous assurer qu’elles répondent aux exigences de la norme PCI DSS et restent aussi sécurisées que possible. C’est également le moment de développer un calendrier d’audit de conformité régulier pour s’assurer que votre système reste conforme à l’avenir.
Une fois que vous avez terminé toutes les étapes nécessaires pour devenir conforme à la norme PCI DSS, vous devez vous adresser à l’une des organisations accréditées par le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC). Ils évalueront votre système et vous délivreront un certificat de conformité s’ils déterminent que vous êtes conforme.
Satisfaction au cryptage PCI DSS et aux autres exigences de conformité
Les exigences de chiffrement PCI DSS sont des garanties de pointe que les entreprises doivent mettre en œuvre pour protéger les données des clients et garantir la sécurité des transactions, telles que les informations de carte de crédit.
Les exigences PCI DSS pour le chiffrement sont non seulement complexes mais aussi assez nuancées. Premièrement, le cryptage doit être utilisé pour protéger toutes les données classées comme “données d’authentification sensibles”, qui incluent tous les numéros de compte principaux (PAN) ou les données complètes de la bande magnétique de la carte de crédit ou de débit. De plus, le cryptage doit répondre à une norme industrielle approuvée, telle que AES (Advanced Encryption Standard) ou Triple-DES (Data Encryption Standard), qui font partie des algorithmes les plus couramment utilisés.
Le cryptage est également requis pour toutes les données envoyées sur les réseaux publics. Cela signifie que toutes les données envoyées d’une machine à une autre doivent être cryptées, ainsi que tous les commerçants qui souhaitent accepter les paiements en ligne. Toutes les données doivent être cryptées lorsqu’elles quittent le point d’origine, ainsi que lorsqu’elles atteignent leur destination. Cela inclut toutes les données stockées sur tout type de base de données où les informations personnelles des clients sont conservées.
L’une des principales exigences de la norme PCI DSS est l’utilisation de mesures de contrôle d’accès solides. Cela signifie qu’un système d’authentification sécurisé doit être utilisé pour vérifier l’identité de l’utilisateur. Il est également fortement recommandé que tous les employés qui ont accès à la base de données reçoivent des jetons ou des mots de passe uniques qui doivent être utilisés pour accéder à la base de données.
Dans l’ensemble, les exigences de chiffrement PCI DSS sont essentielles pour garantir la sécurité et la confidentialité des informations des clients. Les organisations qui ne satisfont pas à ces exigences s’exposent à des amendes importantes, ainsi qu’à une perte potentielle de clients si les données sont volées ou compromises. Les entreprises qui sont en train de mettre en œuvre le chiffrement doivent s’assurer de respecter toutes les exigences PCI DSS pour éviter tout problème potentiel.
Comment la norme PCI DSS affecte-t-elle les relations entre votre entreprise et les fournisseurs ?
PCI DSS est une exigence pour travailler avec les principales sociétés de cartes de crédit lors du traitement des données sensibles des cartes de crédit. Dans ce cas, les données sensibles sont les numéros de carte de crédit, les numéros CVV, les dates d’expiration, les informations d’une puce EMV ou d’une bande magnétique et toute donnée personnelle sur le titulaire de la carte. Bien que cela ne soit pas appliqué par les gouvernements nationaux, étatiques ou provinciaux, les fournisseurs de cartes de crédit sont catégoriques quant à la conformité. Sans conformité, vous et toute entreprise traitant des données êtes passibles de sanctions imposées par ces fournisseurs. Ces sanctions peuvent inclure :
- Pénalités financières jusqu’à 100 000 $ par mois jusqu’à ce que la conformité soit atteinte.
- Dommages causés à votre compte marchand en raison d’une non-conformité, ce qui peut rendre coûteux, voire impossible, le traitement des paiements par carte.
- L’impact négatif sur votre compte marchand en raison d’une fraude ou d’une activité de rétrofacturation qui n’est pas détectée par les normes technologiques conformes.
Ces risques et pénalités sont en dehors de toute obligation légale que vous pourriez avoir envers les clients ou le gouvernement en cas de violation de données.
Ces problèmes sont toujours présents si vous utilisez un processeur de paiement tiers, car ils doivent également maintenir la conformité. Cela signifie que toute technologie qu’ils utilisent doit être conforme, et tout partage de données entre vous et eux (transferts de fichiers, stockage de fichiers ou partage de fichiers) doit également respecter les réglementations PCI.
Un fournisseur tiers peut-il aider à la conformité ?
La reponse courte est oui. Si vous utilisez un fournisseur de traitement des paiements, cela peut réduire votre charge de conformité. S’ils sont conformes à la norme PCI DSS et gèrent tout le stockage des données, cela facilite la gestion de votre entreprise. De plus, ces fournisseurs peuvent également fournir des services conformes pour développer les vôtres, y compris un stockage sécurisé pour le traitement des paiements répétés ou les abonnements.
Toutefois, si vous gérez également des données client en collaboration avec un fournisseur de paiement tiers, vous devez également disposer d’une technologie conforme de votre côté. Si vous communiquez avec eux de quelque manière que ce soit au sujet d’informations sensibles, comme pour les transferts de fichiers, les deux parties utilisent souvent la technologie Secure FTP (SFTP) pour ce faire.
Cependant, SFTP ne suffit pas. Tout d’abord, tout serveur SFTP doit être renforcé pour dissuader les violations, fournir des contrôles d’accès aux données rigoureux et être configuré pour gérer les données chiffrées conformément aux exigences PCI. Deuxièmement, SFTP n’inclut aucune prise en charge des exigences commerciales et d’audit incluses dans le cadre PCI DSS. C’est pourquoi une solution de transfert de fichiers géré (MFT) peut vous aider.
Un fournisseur MFT tiers conforme à la norme PCI peut fournir un stockage et un partage sécurisés conformes à la norme PCI tout en prenant en charge les éléments suivants :
- Partage de fichiers sécurisé : cela inclut le cryptage AES-128 ou AES-256 pour les données au repos et TLS 1.2 ou supérieur pour les données en transit.
- Journalisation d’audit :un journal d’audit approprié fournira des preuves ininterrompues de tout événement de sécurité à des fins de diagnostic ou de prévention. De même, cela vous donne des outils supplémentaires pour prouver que vous répondez aux exigences lors d’une évaluation.
- Protection par pare-feu :PCI DSS nécessite un pare-feu pour protéger l’accès aux serveurs, et votre plate-forme MFT devrait également, y compris des protections spéciales pour le partage à travers la barrière du pare-feu et la protection des données des titulaires de carte.
- Méthodes sécurisées de partage de fichiers avec des utilisateurs externes :les e-mails ne sont pas sécurisés et le partage d’informations via des e-mails non cryptés enfreint la conformité. Secure MFT peut fournir une sécurité réelle grâce à des liens sécurisés pour faciliter le partage de courrier électronique et de fichiers à l’aide de serveurs cryptés.
La différence Kiteworks
La plateforme Kiteworks est une solution MFT et SFTP qui répond aux besoins de toute organisation traitant des données de titulaires de carte. Nous comprenons que toutes les entreprises ne traitent pas les paiements de la même manière, donc l’utilisation de notre plateforme vous offre la tranquillité d’esprit dont vous avez besoin pour vous concentrer sur les opérations commerciales plutôt que sur les détails de la conformité.
Avec la plateforme Kiteworks, vous pouvez aligner vos stratégies commerciales et de conformité sous un même parapluie avec les fonctionnalités suivantes :
- Sécurité :Nous incluons un SFTP sécurisé qui répond aux exigences PCI DSS pour les transferts et le stockage de fichiers. Les appliances virtuelles sont renforcées avec des couches de défense, telles que des réseaux intégrés et réglés et des pare-feu d’applications Web, des communications zéro confiance entre les services internes, des fonctionnalités architecturales pour empêcher que les données ne soient conservées dans votre DMZ, une confiance zéro entre les services, une sécurité et une conformité par défaut strictes. contrôles de politique, et autres. Nos systèmes sont protégés par des pare-feu sécurisés avec des niveaux d’interaction proxy afin qu’aucune information sensible n’entre ou ne sorte.
- Journalisation des données et des audits :la plate-forme Kiteworks utilise des pistes d’audit immuables afin que vous puissiez démontrer la conformité et gérer efficacement les événements de sécurité chaque fois qu’ils se produisent. Suivez, surveillez et visualisez l’utilisation des données sur votre système avec notre tableau de bord CISO dédié qui renforce votre conformité et vos opérations commerciales avec une vue d’ensemble de votre paysage d’informations. Nous fournissons également des capacités d’exportation vers votre solution SIEM existante, y compris Splunk, IBM QRadar, LogRhythm et ArcSight.
- Conformité au partage de fichiers :nous fournissons des liens de messagerie sécurisés vers nos serveurs cryptés afin que vous puissiez partager des données sensibles avec les bonnes personnes à l’aide de la messagerie électronique traditionnelle.
Plus important encore, la plate-forme Kiteworks est sécurisée pour vous afin qu’elle soit conforme à la norme PCI. Nous exigeons que les clients définissent des mots de passe uniques au début de l’intégration, et nous mettons en œuvre des contrôles d’accès et d’authentification aux données solides. Kiteworks utilise également un cycle de vie de développement sécurisé OWASP avec des tests de sécurité automatisés, des tests de boîte blanche et de boîte noire, des tests de pénétration réguliers et un programme de primes continu pour déterrer les vulnérabilités. Enfin, nous facilitons la configuration et l’utilisation de votre système, sans compromettre la conformité ou la sécurité.
Pour en savoir plus sur le partage de fichiers conforme à la norme PCI, planifiez une démonstration personnalisée de Kiteworks dès aujourd’hui.