PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) est un standard universel de sécurité de l'information assemblé par l'organisme PCI SSC (Payment Card Industry Security Standards Council).
Ce standard a été créé pour aider les organisations qui travaillent avec des paiements par carte de crédit à prévenir les fraudes en augmentant les contrôles afférents à l'information et à son exposition.
La dernière version de PCI DSS 1.2.1 parue en Juillet 2009 consiste en 12 exigences et procédures d'évaluation de sécurité:
- Installer et maintenir la configuration d'un firewall destiné à protéger l'information des titulaires d'une carte
- Ne pas utiliser de paramètres par défauts au niveau d'un système, d'un mot de passe ou d'autres paramètres liés à la sécurité
- Protéger toute information stockée relative aux titulaires de cartes
- Chiffrer la transmission d'informations des propriétaires de cartes effectuées par le biais de réseaux publics
- Utiliser et mettre à jour régulièrement l'application et les antivirus
- Développer et maintenir la sécurité des systèmes et des applications
- Restreindre l'accès aux données des titulaires de cartes en fonction des impératifs et besoins
- Assigner un identifiant unique à chaque personne nécessitant un accès informatique
- Restreindre l'accès physique aux systèmes hébergeant les informations des titulaires de cartes
- Suivre et surveiller tous les accès aux ressources du réseau ainsi qu'aux données des titulaires de cartes
- Tester régulièrement les systèmes et processus de sécurité
- Maintenir une politique de sécurité de l'information pour les employés et les partenaires
Pour plus d'informations, consulter le site web PCI Security Standards Council
