Vous voulez réduire le périmètre PCI DSS. Quelle est l'approche standard ?
Réponse courte
Le périmètre PCI DSS couvre les systèmes qui stockent, traitent ou transmettent les données de titulaires de cartes, plus tout système qui leur est connecté ou peut les affecter ; une segmentation réseau efficace isole donc l'environnement des données de cartes (CDE) et exclut du périmètre les systèmes sans rapport, réduisant coût, effort et risque. Chiffrer tous les serveurs ne définit aucune frontière et les systèmes connectés restent dans le périmètre ; ajouter des pare-feu partout sans cible n'est pas de la segmentation si cela ne restreint ni ne valide les flux de données ; et cesser de lire les numéros de carte à voix haute relève de l'hygiène, pas d'un contrôle de périmètre. La réponse systémique est de maîtriser où vivent les données de cartes et ce qui peut les atteindre.
PCI DSS s'applique à tout système qui stocke, traite ou transmet des données de titulaires de cartes, ainsi qu'aux systèmes connectés à cet environnement ou capables d'affecter sa sécurité. Le moyen le moins coûteux de réduire la charge n'est pas d'ajouter des contrôles partout — c'est de faire en sorte que moins de systèmes soient dans le périmètre dès le départ.
Pourquoi la segmentation est le levier
L'environnement des données de cartes (CDE) est l'endroit où ces données vivent et circulent. Si vous segmentez le réseau de sorte que les systèmes n'ayant aucun besoin de toucher aux données de cartes soient réellement isolés du CDE, ces systèmes tombent hors périmètre : ils n'ont pas à satisfaire les 300 et quelques exigences PCI, à être évalués, ni à porter ce risque. Un périmètre plus réduit signifie un coût d'évaluation plus faible, une surface d'attaque plus petite et un environnement plus resserré et défendable. La segmentation est le mécanisme standard et reconnu que le PCI SSC décrit précisément à cette fin.
Pourquoi les distracteurs sont faux
Chiffrer tous les serveurs protège les données au repos mais ne définit aucune frontière de périmètre — les systèmes connectés restent dans le périmètre, et vous avez dépensé des efforts partout au lieu de réduire le problème. Ajouter des pare-feu partout, sans cible, n'est pas de la segmentation : la segmentation exige de restreindre et de valider délibérément les flux de données entrant et sortant du CDE, pas de disperser des équipements sans conception. Cesser de lire les numéros de carte à voix haute est une hygiène raisonnable, mais cela traite une habitude, pas la question systémique de l'endroit où vivent les données et de ce qui peut les atteindre.
Le jugement évalué
L'intervieweur vérifie que vous comprenez que le périmètre PCI est défini par les flux de données et la connectivité, et que le geste stratégique consiste à réduire le périmètre plutôt qu'à appliquer des contrôles sans discernement. Les bonnes réponses vont plus loin : vous devez prouver que la segmentation est efficace (tests d'intrusion à travers les frontières de segments, validés par un QSA), et vous devriez mentionner les réducteurs de périmètre comme la tokenisation ou une page de paiement hébergée/par redirection, qui retirent entièrement les données brutes de cartes de vos systèmes et peuvent réduire le périmètre de façon spectaculaire. Cette combinaison — concevoir la frontière, la valider et retirer les données là où c'est possible — distingue une réponse senior de GRC ou d'architecture d'une réponse à cases à cocher.
Questions de suivi probables
- Comment prouvez-vous à un QSA que votre segmentation est efficace, et pas seulement configurée ?
- Pourquoi les systèmes connectés ou impactant la sécurité sont-ils dans le périmètre même s'ils ne touchent jamais aux données de cartes ?
- Comment la tokenisation ou une page de paiement hébergée modifie-t-elle votre périmètre ?