11 décembre 2012

Tokenisation et PCI-DSS

PCI-DSS

La certification PCI-DSS concerne tous les équipements informatiques qui traitent des données de cartes. Elle est souvent coûteuse pour les organisations, c’est pourquoi il est nécessaire de réduire au maximum le périmètre pour gagner en efficience.

La tokenisation vise à remplacer au plus tôt les numéros de carte bancaire par un token, celui-ci ayant une valeur arbitraire qui n’a aucun lien avec le numéro de carte initial. L’utilisation de ce token permet de réduire le périmètre de certification car les équipements ne traitent ensuite plus directement de numéros de carte. Le serveur qui génère les tokens entre quand à lui dans le périmètre et nécessite une attention particulière quant à sa sécurisation.

Dans le cadre de la certification PCI-DSS, il faut suivre un certain nombre de bonnes pratiques concernant la mise en œuvre d’une solution de tokenisation :

  • Les tokens ne doivent en aucun cas permettre de retrouver un PAN en dehors du périmètre des systèmes, réseaux et applications PCI DSS (CDE). Des audits réguliers doivent permettre de justifier l’absence de PAN sur les systèmes et réseaux utilisant les tokens.
  • Les composants permettant de générer les token (boitier HSM, serveurs) doivent être situés sur un réseau interne sécurisé et isolé des réseaux ouverts vers l’extérieur.
  • Le système de génération des tokens ne peut en aucun cas être situé en DMZ ou au niveau des frontaux web. En cas de système virtualisé, il faut que le système hôte n’ait aucun lien direct avec le web. Seul des flux légitimes et de confiance peuvent entrer et sortir de l’environnement de tokenisation (il est nécessaire de justifier ces flux) Il est nécessaire d’élaborer des fiches de flux afin de décrire précisément le passage du PAN au token et inversement.
  • La solution de tokenization doit appliquer une méthode de chiffrement robuste et la transmission doit se faire par des protocoles sécurisés en cas de transmission sur les réseaux publics ouverts.
  • La solution de tokenization doit faire l’objet de contrôles d’accès strictes et d’une authentification forte conformément aux exigences de la norme PCI DSS 7 et 8. L’accès à la solution doit être personnel et avec un mot de passe unique. Les authentifiants par défaut et constructeur doivent être supprimés (ou neutralisés).
  • Les composants du système de tokenisation doivent respecter les normes et politique. Ils doivent faire l’objet d’un durcissement afin de limiter leurs vulnérabilités. Le serveur ou boitier de tokenisation doit respecter les normes imposées par PCI – DSS et le niveau de sécurité adéquat. De manière générale, les mises à jour doivent être appliqués et un contrôle régulier des versions doit être réalisé.
  • Un mécanisme de suppression sécurisée des données bancaires doit être mis en place afin de respecter la politique de conservation des données. Les tokens sont à considérer au même titre que les PAN au sein de la politique de conservation des données. Ils doivent être supprimés à l’issu de leur utilisation ou de la durée légale de rétention.
  • L’utilisation d’une solution de tokenisation nécessite la formalisation des procédures pour l’exploitation, la surveillance et l’alerte en cas d’activité suspecte et nécessité d’intervention. Attention, en plus de formaliser ces procédures, le personnel doit être formé afin d’assurer un bon usage de la solution et un niveau de sécurité adapté.

Source :
PCI Council

One Comment on “Tokenisation et PCI-DSS

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *