Le PCI Security Standards Council publie une révision mineure de la norme de sécurité des données du PCI

—La version PCI DSS 3.2.1 inclut des mises à jour mineures pour tenir compte des premières dates SSL/TLS qui sont déjà passées

WAKEFIELD, Massachusetts--()--Aujourd'hui, le PCI Security Standards Council (PCI SSC) a publié une révision mineure de la norme PCI Data Security (PCI DSS), utilisée par les entreprises du monde entier pour protéger les données des cartes de paiement avant, pendant et après l'achat. La version 3.2.1 de PCI DSS remplace la version 3.2 pour tenir compte des dates d'entrée en vigueur et des délais de migration des Secure Socket Layer (SSL)/ Transport Layer Security (TLS) précoce. qui sont déjà passés. Aucune nouvelle exigence n'est ajoutée dans la PCI DSS v3.2.1. La norme PCI DSS v3.2 reste valable jusqu'au 31 décembre 2018 et sera supprimée à compter du 1er janvier 2019.

« Cette mise à jour est conçue pour éliminer toute confusion autour des dates d'entrée en vigueur des exigences du PCI DSS introduites dans la version 3.2, ainsi que des dates de migration SSL/TLS précoce », a déclaré Troy Leach, directeur technique de PCI SSC. « Il est extrêmement important que les organisations désactivent le SSL/TLS précoce et le mettent à niveau vers une alternative sécurisée pour sauvegarder leurs données de paiement ».

Les modifications mineures apportées à la norme PCI DSS v3.2.1 reflètent la manière dont les exigences existantes sont affectées une fois que les dates d'entrée en vigueur et les délais de migration SSL/TLS sont passés, afin que les organisations puissent indiquer avec précision comment leurs implémentations répondent aux actuelles exigences après le 30 juin. Plus précisément, les changements comprennent :

  • La suppression des notes faisant référence à une date d'entrée en vigueur le 1er février 2018 pour les exigences applicables, car cette date est dépassée.
  • Les mises à jour des exigences applicables et l'annexe A2 pour refléter le fait que seuls les terminaux points de vente (TPV/POI) (point d'interaction) et les points de connexion de leurs fournisseurs de services peuvent continuer à utiliser les SSL/TLS précoces comme contrôle de sécurité après le 30 juin 2018.
  • La suppression de l'authentification multi-facteurs (MFA) de l'exemple de contrôle de compensation dans l'Annexe B, comme la MFA est désormais requise pour tous les accès administratifs hors consoles ; ajout de mots de passe à usage unique en tant que contrôle potentiel alternatif pour ce scénario.

Les mises à jour de PCI DSS v3.2.1 n'affectent pas la norme de sécurité des données d'application de paiement (PA-DSS), qui restera à la v3.2.

La version PCI DSS 3.2.1 et un résumé des modifications de la version 3.2 à la version 3.2.1 sont désormais disponibles dans la bibliothèque de documents sur le site web de PCI SSC. Des versions mises à jour du supplément d'information sur la migration depuis le SSL et le TLS précoce, des questionnaires d'autoévaluation (QAE) et des instructions et des lignes directrices des QAE seront publiées sous peu pour prendre en charge la norme PCI DSS v3.2.1.

Pour plus d'informations, lisez les Q & R du blog sur les perspectives du PCI avec Troy Leach, directeur technique : PCI DSS maintenant et pour l’avenir.

À propos du PCI Security Standards Council
Le PCI Security Standards Council (PCI SSC) mène une action interprofessionnelle mondiale pour accroître la sécurité des paiements en créant des normes et des programmes de sécurité des paiements souples et efficaces ayant pour but d’aider les commerces à détecter, minimiser et prévenir les failles de sécurité et les cyberattaques. Connectez-vous avec le PCI SSC sur LinkedIn. Participez au débat sur Twitter @PCISSC. Abonnez-vous au blog PCI Perspectives.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter: @PCISSC

Contacts

PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter: @PCISSC