Il est important de bien comprendre ce qui est (et ce qui ne l’est pas) considéré comme des données de carte de paiement pour comprendre comment se conformer aux normes PCI DSS. En général, la réglementation ne s’applique qu’au numéro de compte principal d’une carte de paiement. Si d’autres éléments de données, comme le nom du titulaire de la carte, la date d’expiration et/ou le code de sécurité, sont présents sans pan, les normes PCI DSS ne s’appliquent pas. Cependant, si ces autres éléments de données sont stockés, traités ou transmis avec le pan, ou sont présents de quelque autre façon dans l’environnement de données des détenteurs de carte (CDE), ils doivent être protégés conformément aux exigences PCI DSS applicables, comme indiqué sur le site Web du Conseil des normes de sécurité PCI.. 

Quand vous stockez un Pan, les réglementations PCI exigent qu’il soit illisible (PCI FAQ 1222) via cryptage, troncage, tokenisation ou adressage unidirectionnel. Que la carte soit chiffrée ou à jeton ou non, les exigences PCI s’appliquent quand même au système contenant le numéro, car le routage Pan peut potentiellement être annulé si la clé de chiffrement ou le tableau de recherche du token est compromis. Cependant, si le numéro est tronqué (pas masqué) de façon à ce que le système ne stocke que les 6 premiers chiffres maximum ou les 4 derniers chiffres du Pan, le numéro n’est plus considéré comme un Pan (PCI FAQ 1091), éliminant ainsi la nécessité pour que ce système soit conforme aux normes PCI. 

Comment Zendesk m’aide-t-il à respecter la conformité aux normes PCI ?

Zendesk dispose d’une fonctionnalité appelée champ de ticket conforme aux normes PCI. Il vous permet de saisir un numéro de compte principal dans un champ de ticket personnalisé de l’interface d’agent Zendesk. Ce nombre est ensuite supprimé et remplacé par les 4 derniers chiffres avant l’envoi des données à l’interface utilisateur. Cela répond aux exigences de protection des cartes de paiement pour la conformité aux normes PCI. N’oubliez pas que cette fonctionnalité conforme aux normes PCI DSS s’applique uniquement au produit Support. Pour en savoir plus au sujet des contrôles de sécurité et de confidentialité qu’utilise Zendesk, y compris ceux qui aident à la conformité aux normes PCI, consultez « Est conforme aux normes PCI de Zendesk ». 

Demander une copie de l’attestation de conformité (AoC) (sous « Artifacts »)

Et si je ne veux pas que les utilisateurs finaux mettent le Pan entier dans mon instance Zendesk ? 

Nous vous conseillons vivement de saisir le Pan uniquement par le biais du champ de ticket conforme aux normes PCI pour garantir la conformité aux normes PCI, mais vous pouvez mettre en œuvre des mesures d’atténuation pour réduire l’exposition des données si elles sont saisies hors de ce champ dédié. 

Suppression automatique d'information

Zendesk propose une fonctionnalité appelée « biffure automatique ». Une fois que vous l’avez activé dans votre centre d’administration, vous pouvez l’utiliser pour supprimer les nouvelles données liées aux cartes de paiement dès l’activation. Cela permet au système de rechercher les numéros contenant 12 à 16 caractères et de les supprimer pour les 6 premiers et les 4 derniers chiffres. Ainsi, vous minimisez les risques de partage des données sensibles ou d’utilisation malveillante.. Il prend aussi en charge les tickets de messagerie. Notez que la suppression automatique d’information ne s’applique ni au centre d’aide, ni à Zendesk Chat, ni aux autres produits Zendesk. 

Suppression manuelle d’information (avec les outils API)

Pour utiliser la prévention des pertes de données et les outils API, vous devez exporter vos données de tickets Zendesk vers un emplacement sécurisé. Pour savoir comment procéder, consultez le document Exporter les données de ticket au format CSV ou XML. Vous pouvez ensuite utiliser l’ API incrémentale pour extraire les tickets d’une plage de dates spécifique ou l’API Listing Commentspour extraire les commentaires des tickets. Une fois que vous avez isolé les données de carte de paiement nécessaires, vous pouvez appliquer l’un des nombreux outils open source disponibles pour identifier les données sensibles, comme Pan. Avec l’ APIde suppression d’information, vous pouvez supprimer ces informations des commentaires de ticket. 

Contrôles de l’utilisation et du stockage

Vous pouvez aussi minimiser l’exposition des données sensibles des détenteurs de compte en stockant les données de carte de paiement uniquement quand cela est vraiment nécessaire et pour un besoin professionnel légitime. Le partage de Pan non protégé par e-mail, message instantané, chat ou autre communiqué doit également être évité pour rester en conformité avec les normes PCI DSS. 

De même, les numéros d’identification des onglets doivent toujours être illisibles lorsqu’ils sont stockés dans des emplacements de sauvegarde, des journaux et des appareils portables. La cryptographie unidirectionnelle, le raccourci qui ne montre que les quatre derniers chiffres du code PIN et des méthodes de contrôle du stockage similaires comme le chiffrement, le masquage et/ou le triage peuvent aussi être utilisés. 

Vous devriez aussi former vos employés pour qu’ils identifient et signalent toute exposition, toute utilisation ou toute distribution des données de carte de paiement non conforme aux normes au sein de votre système ou dans le cadre des opérations quotidiennes. 

Comment déterminer si une application ou un système est conforme aux normes PCI ?

Le système stocke, transmet ou traite-t-il les données de carte de paiement ? Si oui, il est conforme aux normes PCI. Chaque entreprise est responsable d’identifier les systèmes de son environnement où s’appliquent les normes PCI DSS. Quand vous faites cette évaluation, il est important de ne pas oublier que les normes PCI exigent que tous les systèmes de référence qui stockent, transmettent ou traitent les données de carte de paiement soient concernés par les normes PCI, mais aussi que tous les systèmes soient directement connectés à ces systèmes de référence. Vous pouvez explorer la portée en suivant les étapes suivantes :

1. Commencez par identifier et documenter tous les flux de données et systèmes connus susceptibles de transmettre, traiter et/ou stocker les données de carte de paiement. Ces systèmes constituent votre base de données CDE.
2. Ensuite, documentez tous les composants système directement connectés à l’environnement de référence. Ces systèmes sont aussi considérés comme faisant partie de votre CDE.
3. Troisièmement, explorez les systèmes hors du CDE que vous avez de bonnes raisons de penser qu’ils transmettent, traitent et/ou stockent les données de carte de paiement. Documentez tous ceux que vous trouvez et suivez leur chemin jusqu’au CDE. Les systèmes de messagerie, les services d’assistance, les référentiels RH, les systèmes de rapports financiers, les tableurs d’entreprise, etc.

Comment rendre la conformité PCI DSS plus facile à gérer ?  

Pour rendre la conformité PCI DSS plus facile à gérer, vous devez réduire la portée globale de votre API. Consultez votre CDE et examinez toute interface qui transmet, traite ou stocke les données de carte de paiement. Respectez les meilleures pratiques en matière de protection des données, qui vous obligent à acquérir et consommer uniquement les données sensibles qui sont essentielles à vos opérations. Posez-vous les questions suivantes :

• Nos processus commerciaux nécessitent-ils l'utilisation d'une carte de paiement ? Comment utilisons-nous le Pan ?
• Stockons-nous le Pan entier comme numéro de référence ou est-il utilisé pour d'autres processus commerciaux (par ex. facturation automatique ou rétrofacturation) ? Si nous utilisons le Pan complet comme numéro de référence, pouvons-nous limiter son utilisation et son stockage en le tronquant ?
• Pouvons-nous contrôler si un numéro de carte entre dans un système spécifique ou non ? Par exemple, le système est-il associé à un formulaire Web, un e-mail, un service d’ assistanceou une autre interface client ? Si oui, pouvons-nous développer un moyen de supprimer ou de supprimer les données au fur et à mesure qu’elles entrent dans le système ?
• Y a-t-il des systèmes connexes qui se connectent au centre de données dont nous n’avons pas vraiment besoin ? Pouvons-nous segmenter ces systèmes par le biais des règles de pare-feu ou même supprimer les interfaces ?
• Nos processus commerciaux critiques sont-ils en harmonie avec l’architecture ? Pouvons-nous simplifier certains de nos processus et supprimer des systèmes de la portée PCI ?
• Stockons-nous les données de carte de crédit à des fins de commodité ? Le cas d’utilisation du stockage est-il clairement accepté et compris par les parties prenantes internes, ou s’agit-il d’un stockage en vue d’un besoin futur qui pourra se présenter ou non ?
• L’accès au Pan entier est-il une petite opportunité ou une pratique courante ? Notre architecture s’adapte-t-elle trop à ces cas particuliers ?

En réduisant le nombre de systèmes PCI, vous réduisez le nombre de systèmes auxquels s’appliquent les normes PCI, le coût du processus d’audit et le nombre de attaques dans votre environnement. En fonction de votre expérience, de vos ressources et du temps dont vous disposez, il peut être judicieux de vous adresser à un expert PCI pour vous aider dans vos efforts de portée.

 

Avis juridique

 

Glossaire des termes

Acquéreur – Aussi appelée « banque commerciale », « banque acquéreur » ou « université financière acquéreur ». Entité qui initie et entretient des relations avec les vendeurs pour l’acceptation des cartes de paiement. L’acquéreur est généralement responsable de la conformité aux normes PCI et du compte de son vendeur.

AoC – Acronyme d’attestation de conformité. C’est le rapport d’audit qui montre si et comment une organisation est conforme aux normes PCI.

Données du titulaire de la carte – Au minimum, les données de détenteur de carte comprennent le numéro de compte principal (Pan) complet. Les données des détenteurs de carte peuvent également s’afficher sous la forme du pan entier, plus les éléments suivants : nom du titulaire, date d’expiration et/ou code de service.

CDE – Environnement des données des titulaires de carte. Les personnes, les processus et la technologie qui stockent, traitent ou transmettent les données des titulaires de carte ou les données d’authentification sensibles.

DLP – Prévention de la perte de données. Le logiciel de prévention des pertes de données est conçu pour détecter les événements potentiels de violation ou de perte de données.

Chiffrement – Processus de conversion d’informations sous une forme inintelligible, sauf pour les détenteurs d’une clé cryptographique spécifique. Le chiffrement protège les informations entre le processus de chiffrement et le processus de déchiffrement (l’inverse du chiffrement) contre toute divulgation non autorisée.

Vérification Luhn – Aussi connu sous le nom d’algorithme « Mod 10 », c’est une formule de somme de contrôle simple qui sert à valider divers numéros d’identification, comme les numéros de carte de crédit. La plupart des cartes de crédit utilisent l’algorithme pour distinguer les numéros valides des numéros mal saisis ou incorrects.

Masquage – Une méthode pour masquer un segment de données à l’affichage ou à l’impression. Le masquage est utilisé lorsqu’il n’est pas nécessaire de voir la totalité du Pan. Le masquage a trait à la protection du Pan quand il est affiché ou imprimé.

Champ de ticket conforme aux normes PCI – Ce champ est conçu pour accepter les numéros de carte de crédit des agents et le supprime automatiquement dans les 4 derniers chiffres du numéro de carte de crédit avant l’envoi des données à la plateforme Zendesk. Ce champ doit être activé pour bénéficier de l’attestation de conformité de Zendesk.

PCI-SSS – Acronyme du conseil des normes de sécurité de l’industrie des cartes de paiement. Ce conseil a été créé en 2006 par les cinq marques de cartes de crédit (VISA, MasterCard, American Express, Discover, JCB).

PCI-DSS – La norme de sécurité des données de l’industrie des cartes de paiement. Les PCI SCC ont créé une norme unifiée à laquelle tous les vendeurs et prestataires de services seraient soumis.

Pan – Numéro de compte principal. Aussi appelé « numéro de compte ». Numéro de carte de paiement unique (généralement pour les cartes de crédit ou de débit) qui identifie l’émetteur et le titulaire de la carte spécifique.

Fournisseur de services – Entité commerciale (pas un émetteur de carte de paiement) impliquée directement dans le traitement, le stockage ou la transmission des données de détenteur de carte pour le compte d’une autre entité. Cela inclut aussi les entreprises qui fournissent des services qui contrôlent ou pourraient avoir un impact sur la sécurité des données des détenteurs de carte. Exemple : les prestataires de services gérés qui fournissent des pare-feux, des ID et autres services gérés, ainsi que des fournisseurs d'hébergement et autres entités.

Questions fréquentes – Évaluateur de sécurité qualifié. Le PCI SSS a certifié les entreprises qui peuvent effectuer des évaluations PCI et aider à la validation PCI ; le nom est une société d’AQ, ou un membre d’une entreprise peut être certifié en tant qu’entreprise de gestion des compétences.

Supprimer les informations – Le processus de suppression des informations sensibles, comme le Pan, s’il n’est pas nécessaire.

SAQ – Questionnaire d’auto-évaluation. Une entité qui valide la conformité aux normes PCI va passer d’une évaluation externe par une AQ, ou remplir un SAQ et l’envoyer aux marques de cartes ou à leurs banques commerciales.

Token #NAME? La tokenisation est une méthode pour supprimer les données de carte de crédit des systèmes ou bases de données, ce qui réduit la portée du CDE.

Troncature - Méthode pour rendre le pan entier illisible en supprimant définitivement un segment de données pan. La clôture est liée à la protection du Pan quand il est stocké dans des fichiers, des bases de données, etc.