Cartographie de l’ISO 27001 à la PCI DSS

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Alors que PCI – DSS v4.0 se rapproche, deux questions se posent : Comment les normes ISO et IEC 27001 se chevauchent-elles et comment sont-elles mises en correspondance avec PCI ? C’est le plus grand défi de la modernisation de la norme, mais il y a d’autres défis, tels que la rationalisation des obligations de conformité des données pour les normes industrielles et la tentative de réaliser la mise en correspondance ISO / NIST. [Sources : 1,4,4]

Il existe en fait de nombreuses normes relatives à la sécurité de l’information, mais les deux qui présentent une pertinence, une portée et des implications internationales particulières sont l’ISO 27001 et la norme PCI-DSS. Si vous souhaitez améliorer vos pratiques en matière de protection de la vie privée mais que vous n’arrivez pas à décider si vous devez suivre les directives ISO 27001 ou SOC, quelles sont les meilleures pratiques pour vous et votre entreprise en termes de sécurité des données et de conformité ? Si l’on se demande quelle est la différence la plus importante entre les normes ISO et IEC 27002 et le PCI DSS, ce n’est pas le moment de l’apprendre. [Sources : 7,8,8]

PCI – DSS et NIST vont jusqu’à créer une politique de sécurité de l’information en définissant comment l’information peut être sécurisée, pourquoi une organisation sécurise quelque chose et comment elle est sécurisée. Une politique qui prend en compte la sécurité de l’ensemble du personnel, y compris les évaluations annuelles des risques, sera maintenue. En effet, il convient d’assurer une meilleure sécurité des données et maintenir une relation entre l’organisation qui gère les exigences PCI-DSS et les fournisseurs de services qui les gèrent pour l’information. [Sources : 0,5,9]

Par exemple, l’exigence 3 de PCI – DSS décrit la nécessité de protéger les données stockées du titulaire de la carte en limitant la conservation des données et en utilisant le cryptage et la tokenisation des données. Il existe d’autres exemples, mais l’accent est mis sur l’importance de développer et de maintenir des systèmes et des applications sécurisés. [Sources : 4,4]

La norme ISO 27001 spécifie les processus et contrôles prescrits qui couvrent la sécurité des informations d’une organisation de manière holistique. Elle exige qu’un certain nombre d’activités de sécurité soient réalisées au cours d’une année. La norme ISO 27001 est liée à la sécurité des informations et des données dans le contexte de PCI – DSS et d’autres normes de sécurité. [Sources : 10,6]

L’étendue de la conformité est devenue de plus en plus lourde pour la plupart des organisations, comme vu ces dernières années avec l’introduction de PCI – DSS et d’autres normes de sécurité. Pour traiter les données PCI, de nombreuses organisations ont découpé et segmenté des parties de leur réseau en environnements de données des titulaires de cartes (CDE) afin de limiter leurs capacités de conformité PCI. Cependant, si vous utilisez un CDE, vous devrez peut-être étendre vos contrôles PCI au-delà des frontières du CDE pour couvrir les données personnelles si vous souhaitez utiliser une solution PCI-DSS pour vous conformer au RGPD. Si l’on ajoute à cela la nécessité de se conformer à d’autres exigences PCI, telles que la loi sur la protection des données (PCI DSA), on constate une augmentation significative des exigences de conformité pour les organisations conformes à la norme PCI. [Sources : 4,4,4,2]

La norme ISO 27001 est une norme internationale reconnue dans le monde entier, qui constitue la base de la protection des données, des informations et de l’infrastructure des technologies de l’information (TI). La norme ISO 27002 est le cadre internationalement reconnu pour la cybersécurité. ISO-27001 Gestion de la sécurité de l’information est une norme mondialement reconnue qui fournit le cadre pour la mise en œuvre d’un système de gestion de la sécurité de l’information (SGSI) pour les organisations. [Sources : 3,8,10]

La norme PCI DSS compte environ 250 contrôleurs basés sur la sauvegarde des données de cartes, et ses exigences sont très faciles à intégrer. L’une des choses les plus importantes que la norme ISO 27001 possède (ou ne possède pas) est le plan PDCA (Plan, Do, Check and Act), qui introduit un système de gestion basé sur la norme ISO pour protéger les données des titulaires de cartes. Les exigences de la norme PCI-DSS peuvent être considérées comme des systèmes de gestion de la sécurité de l’information pour les titulaires de cartes et peuvent donc être mises en conformité avec les recommandations de la norme ISO 27001. La norme PCI-DSS soutient l’introduction d’un système de gestion de la sécurité de l’information (SGSI) pour la protection et la sécurité des données. [Sources : 11,9,11,8]

Si vous êtes une organisation qui transmet des données de cartes de paiement, vous devez vous conformer à la norme PCI – DSS. Elle devrait être moins spécifique, inclure une plus grande flexibilité, encourager de multiples façons d’atteindre les objectifs visés et avoir la capacité de communiquer et de s’adapter à des normes industrielles supplémentaires afin que la conformité soit une tâche facile et que les entreprises puissent se concentrer sur les aspects les plus importants de leur activité, comme la protection et la sécurité des données. La norme PCI-DSS est basée sur des normes sectorielles supplémentaires, mais elle devrait inclure et mettre en correspondance une grande flexibilité pour se concentrer sur la conformité et sur les activités. [Sources : 5,1,1]

Pour rester simple, il est utile de rappeler que la norme ISO 27001 définit le cadre de la création d’un système de gestion de la sécurité de l’information (SGSI) et ses exigences, tandis que la norme ISO 27002 définit ce qu’implique sa construction. D’un côté, il y a la norme PCI-DSS, et de l’autre, la norme ISO 27002 fournit les contrôles spécifiques nécessaires à sa mise en œuvre effective, mais l’organisation est bâtie sur le bon sens établi par PCI. [Sources : 5,3,3]

Sources: 

  • [0] : https://www.standardfusion.com/blog/mapping-pci-dss-to-nist-csf/
  • [1] : https://orangecyberdefense.com/global/blog/cloud/my-pci-dss-v4-0-wishlist/
  • [2] : https://docs.acquia.com/cloud-platform/arch/security/compliance-standards-and-regulations/
  • [3] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
  • [4] : https://www.tokenex.com/blog/utilizing-the-pci-dss-and-nist-regulations-to-prepare-for-the-gdpr
  • [5] : https://zxa.zohrilsm9ds1.pw/mapping-iso-27001-controls-to-pci-dss-v3-2-requirements.html
  • [6] : https://help.securitycolony.com/help/i-need-to-comply-with-pci-slash-apra-slash-dot-dot-dot-and-dont-know-where-to-start
  • [7] : https://www.itgovernance.eu/blog/en/iso-27001-vs-soc-2-certification-whats-the-difference
  • [8] : https://advisera.com/27001academy/knowledgebase/pci-dss-and-iso-27001-general-description-and-structure/
  • [9] : https://www.riskmanagementstudio.com/why-you-should-integrate-the-pci-dss-and-iso-27001-standards-for-your-data-protection/
  • [10] : https://www.securitycentric.com.au/services/iso-27001-compliance-services
  • [11] : https://complior.se/pci-dss-versus-or-and-iso-27001/