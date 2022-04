Pour donner aux organisations le temps de comprendre les changements de la version 4.0 et de mettre en œuvre les mises à jour nécessaires, la version actuelle de PCI DSS, la version 3.2.1, restera active pendant deux ans jusqu'à son retrait le 31 mars 2024. Une fois que les évaluateurs et évaluatrices auront terminé la formation à la norme PCI DSS version 4.0, les organisations pourront effectuer des évaluations soit via la norme PCI DSS version 4.0, soit via la norme PCI DSS version 3.2.1. La nouvelle norme prévoit également un délai supplémentaire pour que les organisations mettent en œuvre un grand nombre des nouvelles exigences. Plus d'informations sur le calendrier de mise en œuvre sont disponibles sur le PCI Perspectives Blog .

Les changements apportés à la norme ont été motivés par les retours du secteur mondial des paiements. Sur une période de trois ans, plus de 200 organisations ont fourni plus de 6 000 commentaires pour veiller à ce que la norme continue de répondre au contexte complexe et en constante évolution de la sécurité des paiements.

« L'industrie a eu une visibilité et un impact sans précédent sur le développement de la norme PCI DSS version 4.0 », a déclaré Lance Johnson, directeur exécutif du PCI SSC. « Nos intervenants nous ont fourni des commentaires importants, perspicaces et divers qui ont aidé le Conseil à faire progresser efficacement le développement de cette version de la norme de sécurité des données de PCI. »

Les mises à jour de la norme visent à répondre à l'évolution des besoins en matière de sécurité de l'industrie des paiements, à promouvoir la sécurité comme processus continu, à accroître la flexibilité des organisations qui utilisent différentes méthodes pour atteindre leurs objectifs de sécurité et à améliorer les méthodes et les procédures de validation. Vous trouverez des détails sur ces mises à jour dans le résumé des modifications de PCI DSS version 4.0 sur le site Internet du PCI SSC .

Voici quelques exemples de changements apportés à la norme PCI DSS version 4.0 :

mise à jour de la terminologie des pare-feu pour les contrôles de sécurité du réseau afin de soutenir un plus large éventail de technologies utilisées pour atteindre les objectifs de sécurité traditionnellement atteints par les pare-feu ;

élargissement de l'exigence 8 pour mettre en œuvre l'authentification multifactorielle (MFA) pour tous les accès à l'environnement des données des titulaires de cartes ;

une plus grande flexibilité pour les organisations afin de démontrer comment elles utilisent différentes méthodes pour atteindre leurs objectifs de sécurité ;

l'ajout d'analyses de risques ciblées pour permettre aux entités de définir la fréquence à laquelle elles effectuent certaines activités, en fonction de leurs besoins commerciaux et de leur exposition aux risques.

REGARDEZ : « First Look at PCI DSS v4.0 », une vidéo dans laquelle des représentants du Conseil discutent des principaux changements apportés à la norme.

« La norme PCI DSS version 4.0 est plus sensible à la nature dynamique des paiements et à l'environnement des menaces », a déclaré Emma Sutcliffe, vice-présidente principale et responsable des normes du PCI SSC. « La version 4.0 continue de renforcer les principes de sécurité de base tout en offrant une plus grande flexibilité pour permettre une mise en œuvre de diverses technologies. Ces mises à jour sont appuyées par des conseils supplémentaires pour aider les organisations à sécuriser les données des comptes dès aujourd'hui et à l'avenir. »

ÉCOUTEZ : Coffee with The Council:A Preview of the PCI DSS v4.0 and Transition Training (« Discussion avec le Conseil : aperçu de la norme PCI DSS version 4.0 et formation »), un podcast dans lequel des représentants du Conseil discutent de ce à quoi on peut s'attendre avec la norme PCI DSS v4.0 et des informations sur la formation des évaluateurs.

En plus de la norme mise à jour, les documents de soutien publiés dans la bibliothèque de documents du PCI SSC comprennent le résumé des modifications de la norme PCI DSS v3.2.1 à v4.0, le modèle de rapport de conformité v4.0, les attestations de conformité du rapport de conformité et les questions fréquemment posées du rapport de conformité. Les questionnaires d'auto-évaluation seront publiés dans les semaines à venir.

Pour soutenir l'adoption de la norme PCI DSS à l'échelle mondiale, la norme et le résumé des modifications seront traduits en plusieurs langues. Ces traductions seront publiées au cours des prochains mois, entre mars et juin 2022.

Le Conseil fournira des renseignements supplémentaires tout au long de l'année pour aider la communauté à comprendre les changements apportés à la norme. Cela inclut le PCI DSS Symposium , un événement de formation en ligne disponible le 21 juin 2022 pour les membres de la communauté PCI SSC. La formation des évaluateurs sera disponible en juin. Pour connaître le calendrier des sessions de formation des évaluateurs, consultez la page des ressources de formation du PCI SSC .

CONSULTEZ : « PCI DSS v4.0 At a Glance » (« Norme PCI DSS version 4.0 en un coup d'œil »), un document de présentation des modifications apportées à la norme PCI DSS version 4.0.

