Edition du 08/10/2008 - par Jean Pierre Blettner avec IDG News Service

Le nouveau cadre PCI 1.2 clarifie les dispositifs à déployer pour protéger les porteurs de cartes bancaires. En 2009, une sécurisation par chiffrement de bout en bout et la virtualisation sont au programme. .

L'organisation PCISC (Payment Card Industry Security Standards Council) qui fixe les règles techniques pour les traitements des cartes bancaires dans les systèmes électroniques a publié la semaine dernière les règles de sécurité révisées, la version PCI 1.2 de son cadre de sécurisation des paiements par carte.

L'organisation indique qu'en 2009, le focus ira sur de nouvelles règles pour du chiffrement de bout en bout, les machines de paiement (type DAB) et la virtualisation.

La nouvelle version de PCI 1.2 fixe quelques règles :

- L'usage du WEP est interdit pour le déploiement de nouveaux réseaux sans fil après le 31 mars 2009. La norme WPA est préconisée à sa place,
- Il est interdit d'utiliser le WEP dans les réseaux sans fil actuels après le 30 juin 2010
- Les modifications de code dans les applications internes doivent être validées par des personnes qualifiées différentes de celles qui ont réalisé la programmation
- Une clarification concerne l'obligation d'IDS (Intrusion Detection System) versus IPS (Intrusion Prevention System) : le monitoring ne concerne plus « tout le trafic réseau » mais uniquement « tout le trafic concernant les données liées au détenteur de carte ».
- Lorsqu'un support électronique est détruit, les données concernant le porteur de carte doivent être rendues irrécupérables, ce qui peut être réalisé via un programme d'effacement sécurisé ou par une destruction physique.

Le standard PCI 1.2 cherche à clarifier ...

Page suivante (2/3) >