Exigence 4 : Chiffrer la transmission des données des titulaires de carte sur les réseaux publics ouverts

Les exigences détaillées de la présente section sont pertinentes pour HCL Commerce. Examinez chaque point avec soin.

4.1 Utilisez des protocoles de cryptographie et de sécurité robustes (par exemple, SSL/TLS, IPSEC, SSH, etc.) afin de protéger les données sensibles des titulaires de cartes lors de la transmission sur des réseaux publics ouverts, y compris les suivants :
  • Seuls les clés et certificats approuvés sont acceptés.
  • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées.
  • La puissance de chiffrement est adaptée à la méthodologie de chiffrement utilisée.
Voici quelques exemples de réseaux publics ouverts qui relèvent de PCI DSS :
  • Internet
  • Technologies sans fil, y compris 802.11 et Bluetooth
  • Technologies cellulaires, par exemple, Global System for Mobile Communications (GSM), Code Division Multiple Access (CDMA)
  • General Packet Radio Service (GPRS).
  • Communications par satellite.

Tous les paiements dans HCL Commerce sont soumis par le biais de requêtes SSL.

Pour plus d'informations sur le contrôle et la protection du contrôleur du plug-in de paiement HCL Commerce, voir Spécification de plug-in Payment

Afin de répondre aux exigences de la norme PCI-DSS, vous devez désactiver les clés et implémentations de protocole faibles (telles que SSL v2.0, SSL v3.0, SSH v1.0, TLS 1.0 et TLS 1.1) qui présentent des vulnérabilités connues sur votre serveur Web. Ces types de chiffrement sont considérés comme trop faibles pour la conformité PCI-DSS. Au lieu de cela, vous devez utiliser des implémentations plus fortes comme TLS 1.2 ou une version ultérieure.
IBM HTTP Server

httpd.conf est mis à jour selon les besoins avec chaque version dans le but de désactiver les chiffrements faibles.

4.1.1 Veillez à ce que les réseaux sans fil transmettant les données de titulaires de cartes, ou connectés à l'environnement de données des titulaires de cartes, utilisent les meilleures pratiques du secteur (par exemple, la norme IEEE 802.11i) en vue d'implémenter un chiffrement fort pour l'authentification et la transmission.

Note: L'utilisation de WEP comme contrôle de sécurité est interdite.

Même si le réseau lui-même est transparent vis-à-vis de HCL Commerce, il est important de protéger votre réseau sans fil contre l'intrusion. Un réseau sans fil non sécurisé pourrait permettre à un attaquant de contourner vos autres mesures de sécurité.

4.2 N'envoyez jamais de PAN non protégés par le biais de technologies de messagerie à usage des utilisateurs finaux (par exemple, par e-mail, messagerie instantanée, chat, etc.).

HCL Commerce ne fournit aucune fonctionnalité par défaut permettant d'envoyer le PAN par e-mail.

4.3 Veillez à ce que les politiques de sécurité et les procédures opérationnelles de chiffrement des transmissions des titulaires de cartes stockées soient documentées, utilisées et connues par toutes les parties concernées.

Le commerçant est responsable de la documentation et de la communication des politiques de sécurité et des procédures opérationnelles adressée à toutes les parties concernées.