Qu'est-ce que PCI-DSS ?
PCI-DSS (Payment Card Industry Data Security Standard) est un ensemble d'exigences de sécurité établi par le PCI Security Standards Council pour protéger les données des titulaires de cartes et garantir que toutes les organisations qui traitent, stockent ou transmettent des informations de cartes bancaires maintiennent un environnement sécurisé.
Aussi connu sous le nom de : PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
PCI-DSS définit 12 exigences fondamentales réparties en six catégories : construire et maintenir une infrastructure réseau sécurisée, protéger les données des titulaires de cartes, maintenir un programme de gestion des vulnérabilités, mettre en œuvre des mesures de contrôle d'accès fortes, surveiller et tester régulièrement les réseaux, et maintenir une politique de sécurité de l'information. Le standard s'applique à toute entité impliquée dans le traitement des cartes de paiement : commerçants, processeurs, acquéreurs, émetteurs et fournisseurs de services.
Les exigences 3 et 4 sont particulièrement pertinentes pour le chiffrement : l'exigence 3 impose de protéger les données stockées des titulaires de cartes (avec des méthodes précises de chiffrement, de hachage et de troncature), tandis que l'exigence 4 impose le chiffrement des données des titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics. L'exigence 7 impose un accès selon le principe du besoin d'en connaître, et l'exigence 8 exige une identification unique et une authentification forte pour tout accès aux composants du système. La conformité est validée par des questionnaires d'auto-évaluation ou des audits sur site, selon le volume de transactions.
La conformité PCI-DSS s'étend au-delà du seul environnement des données des titulaires de cartes (CDE) à tout système susceptible d'affecter la sécurité du CDE. Cela inclut la manière dont les identifiants des systèmes de paiement sont gérés et partagés. Partager des mots de passe de base de données ou des clés d'API de systèmes de traitement des paiements par e-mail ou des canaux non chiffrés viole l'esprit — et souvent la lettre — des exigences PCI-DSS en matière de contrôles d'accès forts et de chiffrement.
Comment Vaulted utilise PCI-DSS
Vaulted soutient la conformité PCI-DSS en offrant un canal chiffré et éphémère pour partager les identifiants des systèmes de paiement et des environnements de données de titulaires de cartes. Quand les équipes doivent partager des identifiants de base de données, des clés d'API de passerelles de paiement ou des jetons d'accès pour des systèmes relevant du périmètre PCI, Vaulted garantit que les données sont chiffrées côté client en AES-256-GCM avant leur transmission, et supprimées automatiquement après usage. Cela répond à l'exigence 4 de PCI-DSS (chiffrer les données en transit) et à l'exigence 7 (restreindre l'accès au besoin d'en connaître), en remplaçant les secrets persistants en clair des e-mails par des liens autodestructeurs et zero-knowledge.