Passer au contenuPasser au chercher
TELUS Logo
TELUS Logo

4 quatre conseils simples pour limiter votre portée PCI

15 avr. 2021

À mesure que les réseaux se complexifient, la conformité aux normes de l’industrie des cartes de paiement (« PCI ») devient de plus en plus ardue. Dans un contexte de resserrement des ressources et du budget, de nombreuses entreprises tentent de réduire le fardeau associé à la conformité. Dès lors, leur engouement pour la limitation du champ d’application des normes PCI prend tout son sens.

En quoi consiste le champ d’application des normes PCI?

Le Conseil des normes de sécurité PCI définit le champ d’application comme étant « les composants réseau inclus ou connectés dans l’environnement des données des titulaires de cartes ». Il comprend les personnes, les processus et les technologies qui traitent, transmettent ou stockent les données de titulaires de cartes en toute sécurité. En limitant les points de contact des données de titulaires de cartes, il est possible de réduire le champ d’application des normes, de même que les responsabilités et les coûts qui y sont associés.

Quatre conseils pour limiter le champ d’application des normes PCI

  1. Visualisez les flux de données des titulaires de cartes. Pour limiter le champ d’application, la première étape, et la plus importante, consiste à cartographier le flux de données des titulaires de cartes dans votre environnement. En comprenant les points de collecte, de traitement, de stockage et de sortie, vous serez en mesure de définir votre champ d’application actuel et de cerner les occasions d’amélioration.

  2. Tirez parti de la segmentation réseau. Bien qu’elle soit exclue de la norme PCI DSS, la segmentation des systèmes de traitement des données des titulaires de cartes est une excellente façon de limiter le champ d’application. La segmentation améliore également votre posture de sécurité globale en limitant l’accès aux composantes système de confiance. Ainsi, en cas de compromission d’un autre secteur de votre réseau, les données des titulaires de cartes ne seraient pas touchées.

  3. Stockez seulement l’information dont vous avez réellement besoin. Limitez le nombre de données de titulaires de cartes stockées dans votre environnement. Si c’est possible, tronquez ces données (stockez seulement les six premiers et les quatre derniers chiffres du numéro de carte de crédit) ou chiffrez-les (supprimez les numéros de compte principaux de votre réseau interne et remplacez-les par un code généré au hasard, appelé un jeton). Moins vous stockez de données, moins le champ d’application est grand!

  4. Pensez au chiffrement de bout en bout. Pour réduire encore davantage la portée, vous pouvez appliquer une solution de chiffrement de bout en bout conforme à la norme PCI DSS pour séparer le dispositif de saisie du NIP du reste de votre environnement. Comme le chiffrement de bout en bout est géré par un tiers, la conformité aux normes PCI lui incombe.

Si vous cherchez à alléger le fardeau associé à la conformité aux normes PCI, TELUS peut vous aider à limiter leur champ d’application. TELUS Solutions de cybersécurité est une société qualifiée en évaluation de la sécurité (QSA) depuis 2006. Notre équipe exécute des mandats de conformité à la norme de l’industrie des cartes de paiement, allant des évaluations complètes sur place (rapports de conformité) jusqu’à l’assistance aux clients pour remplir les questionnaires d’autoévaluation (QAA), et tout ce qui s’y rapporte. Nos experts qualifiés en évaluation de la sécurité à l’échelle du pays sont prêts à répondre à vos besoins en matière de conformité aux normes PCI.

Pour obtenir d’autres conseils sur la réduction du champ d’application des normes PCI, communiquez avec nous.

telus.com/cybersecurite #PCI

Auteur:
TELUS Affaires
TELUS Affaires