PCI durcit les règles et le commerce électronique a besoin d'un niveau de sécurité plus élevé

La sécurité numérique vient de gagner de nouvelles règles et les entreprises qui traitent les données des cartes doivent s'adapter Avec l'arrivée de la version 4.0 de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), établie par le Conseil des normes de sécurité PCI (PCI SSC), les changements sont importants et ont un impact direct sur la protection des données des clients et sur la manière dont les données de paiement sont stockées, traitées et transmises Mais, après tout, qu'est-ce qui change vraiment ?

Le principal changement est la nécessité d'un niveau encore plus élevé de sécurité numérique Les entreprises devront investir dans des technologies avancées telles que le chiffrement robuste et l'authentification multifacteur. Cette méthode nécessite au moins deux facteurs de vérification pour confirmer l'identité de l'utilisateur avant d'accorder l'accès aux systèmes, applications ou transactions, ce qui rend difficile le piratage des attaquants même si les criminels ont accès à des mots de passe ou à des données personnelles.

Parmi les facteurs d'authentification utilisés figurent

• Quelque chose que l'utilisateur sait: mots de passe, codes PIN ou réponses aux questions de sécurité.
• Quelque chose que l'utilisateur a: jetons physiques, SMS avec codes de vérification, applications authentifiantes (telles que Google Authenticator) ou certificats numériques.
• Quelque chose que l'utilisateur est: biométrie numérique, faciale, reconnaissance vocale ou iris.

“Ces couches de protection rendent l'accès non autorisé beaucoup plus difficile et assurent une plus grande sécurité pour les données ENVOYÉES, explique-t-il.

“En bref, il nous faut renforcer la protection des données clients en mettant en place des mesures supplémentaires pour empêcher les accès non autorisés”, explique Wagner Elias, CEO de Conviso, développeur de solution pour la sécurité des applications. “Il ne s'agit plus de “ adapt quand il faut”, mais d'agir préventivement”, souligne-t-il.

Selon les nouvelles règles, la mise en œuvre se déroule en deux phases : la première, avec 13 nouvelles exigences, avait l'échéance en mars 2024 Déjà la deuxième phase, plus exigeante, comprend 51 exigences supplémentaires et devrait être satisfaite d'ici le 31 mars 2025 C'est-à-dire que ceux qui ne se sont pas préparés peuvent faire face à des sanctions sévères.

Pour répondre aux nouvelles exigences, certaines des principales actions comprennent : mettre en œuvre pare-feu systèmes de protection robustes ; utiliser le cryptage dans la transmission et le stockage des données ; surveiller et suivre en permanence les accès et activités suspects ; tester constamment les processus et les systèmes pour identifier les vulnérabilités ; créer et maintenir une politique stricte de sécurité des informations.

Wagner souligne qu'en pratique, cela signifie que toute entreprise qui gère les paiements par carte devra revoir l'ensemble de sa structure de sécurité numérique. Cela implique de mettre à jour les systèmes, d'appliquer les politiques internes et de former les équipes pour minimiser les risques. “Par exemple, un commerce électronique devra s'assurer que les données des clients sont cryptées de bout en bout et que seuls les utilisateurs autorisés ont accès aux informations sensibles. Déjà un réseau de détail devra mettre en œuvre des mécanismes pour surveiller en permanence d’éventuelles tentatives de fraude et fuites de données, illustre-t-il.

Les banques et les fintechs devront également renforcer leurs mécanismes d'authentification, en élargissant l'utilisation de technologies telles que la biométrie et l'authentification multifactorielle.“O vise à rendre les transactions plus sûres sans compromettre l'expérience client. Cela nécessite un équilibre entre protection et convivialité, ce que le secteur financier a déjà amélioré ces dernières années”, souligne-t-il.

Mais pourquoi ce changement est-il si important ? il n'est pas exagéré de dire que la fraude numérique est de plus en plus sophistiquée Les violations de données peuvent entraîner des pertes millionnaires et des dommages irréparables à la confiance des clients. 

Wagner Elias met en garde : “nombreuses entreprises adoptent encore une posture réactive, ne se préoccupant de la sécurité qu'après qu'une attaque se produiseCe comportement est inquiétant, car les défaillances de sécurité peuvent causer des pertes financières importantes et des dommages irréparables à la réputation de l'organisation, qui pourraient être évités avec des mesures préventives”.

Il fait également remarquer que pour éviter ces risques, le grand différentiel est d'adopter des pratiques de Sécurité des applications (Sécurité des applications) dès le début du développement de la nouvelle application, en veillant à ce que chaque phase du cycle de développement logiciel dispose déjà de mesures de protection Cela assure l'insertion de mesures de protection dans toutes les phases du cycle de vie du logiciel, étant beaucoup plus économique que de remédier aux dommages après un incident de”.

Le marché de la sécurité des applications, qui représente 11,62 milliards de US$ en 2024, devrait atteindre 25,92 milliards de US$ d'ici 2029, selon Mordor Intelligence.

Wagner explique que des solutions comme DevOps permettent de développer chaque ligne de code avec des pratiques de protection, ainsi que des services tels que les tests d'intrusion et l'atténuation de la vulnérabilité.“L'analyse des performances de la sécurité et l'automatisation des tests permet aux entreprises de respecter les normes sans compromettre l'efficacité du”.

De plus, le conseil spécialisé est important dans ce processus, aidant les entreprises à s'adapter aux nouvelles exigences de PCI DSS 4.0. Les“Parmi les services les plus recherchés figurent les tests de pénétration, l'équipe rouge et les évaluations de sécurité par des tiers, qui aident à identifier et corriger les vulnérabilités avant qu'elles ne puissent être exploitées par les criminels du”, dit-il.

Les fraudes numériques étant de plus en plus sophistiquées, ignorer la sécurité des données n'est plus une option. “Les entreprises qui investissent dans des mesures préventives assurent la protection de leurs clients et renforcent leur position sur le marché La mise en œuvre des nouvelles lignes directrices est, tout d'abord, une étape essentielle pour construire un environnement de paiement plus sûr et plus fiable”, conclut.