Skip to content

Expliquez les bases de PCI DSS : ce qu'il protège, à qui il s'applique et la réduction du périmètre.

Réponse courte

PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité maintenue par le PCI Security Standards Council qui s'applique à toute organisation qui stocke, traite ou transmet des données de titulaires de cartes. Elle s'organise autour d'objectifs de contrôle couvrant un réseau sécurisé, la protection des données stockées, la gestion des vulnérabilités, un contrôle d'accès fort, la surveillance/les tests et une politique de sécurité de l'information. Le périmètre est tout ce qui se trouve dans le cardholder data environment (CDE) — donc la segmentation, la tokenisation et le fait de ne pas stocker de données inutiles sont les principaux moyens de le réduire.

PCI DSS est une norme contractuelle imposée par les grands réseaux de cartes et maintenue par le PCI Security Standards Council. Ce n'est pas une loi, mais y échouer peut entraîner des amendes et la perte de la capacité à traiter des cartes. Les recruteurs posent cette question pour confirmer que vous comprenez le périmètre — ce qui génère l'essentiel du coût et de la difficulté.

Ce qu'il protège et qui il couvre

PCI DSS protège les données de titulaires de cartes (le numéro de compte principal et les données associées) et les données d'authentification sensibles (comme le CVV et les données complètes de la piste magnétique/de la puce). Il s'applique à tout marchand ou prestataire de services qui stocke, traite ou transmet ces données — du commerce de quartier au processeur de paiement mondial.

La norme regroupe les exigences sous de grands objectifs : construire et maintenir un réseau sécurisé, protéger les données stockées des titulaires de cartes, maintenir un programme de gestion des vulnérabilités, mettre en place un contrôle d'accès fort, surveiller et tester régulièrement les réseaux, et maintenir une politique de sécurité de l'information.

Niveaux de marchands et validation

Les marchands sont répartis en niveaux selon leur volume annuel de transactions. Les marchands à faible volume s'auto-évaluent généralement avec un Self-Assessment Questionnaire (SAQ) ; ceux à fort volume ont besoin d'un Qualified Security Assessor externe et d'un Report on Compliance.

Réduction du périmètre

Les données les moins coûteuses à sécuriser sont celles que vous ne détenez jamais. Techniques clés :

  • Ne pas stocker ce dont vous n'avez pas besoin — ne jamais conserver de données d'authentification sensibles après l'autorisation.
  • Tokenisation — remplacer les numéros de carte par des jetons non sensibles.
  • Segmentation — isoler le cardholder data environment afin que le reste du réseau soit hors périmètre.

Pourquoi c'est important

Une bonne réponse commence par le périmètre et la segmentation, et sait que le CVV ne doit jamais être stocké après l'autorisation. Cela signale quelqu'un capable de réellement réduire la charge PCI d'une organisation, pas seulement de la décrire.

Questions de suivi probables

  • Pourquoi le stockage du CVV/CVV2 n'est-il pas autorisé après l'autorisation ?
  • Comment la segmentation réseau réduit-elle le périmètre PCI DSS et l'effort d'évaluation ?
  • Quelle est la différence entre un SAQ et un Report on Compliance (RoC) ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.