Notification faisant suite à une faille ou à un incident de sécurité
Les fournisseurs se doivent d’informer le PCI SSC de toute faille ou de tout incident de sécurité en rapport avec une application de paiement répertoriée, en appliquant les procédures décrites dans cette section.
Notification et gestion du temps
Nonobstant toute autre obligation légale s’appliquant au fournisseur, celui-ci doit immédiatement informer le PCI SSC de toute faille ou de tout incident de sécurité en rapport avec l'une de ses applications de paiement répertoriées par le PCI SSC.
De la même façon, le fournisseur doit donner immédiatement un retour sur l’impact potentiel (possible ou actuel) que la faille a entraîné, peut ou pourra entraîner.
Remarque :
La notification doit avoir lieu moins de 24 heures après la découverte par le fournisseur de la faille ou de l'incident de sécurité.
Format de notification
La première notification d’une faille ou d’un incident de sécurité élaborée par le fournisseur doit prendre la forme d’un appel téléphonique au coordinateur PCI SSC PA-DSS, suivi d’un message électronique, d’une télécopie ou d’une lettre détaillant la faille ou l'incident de sécurité.
Détails de la notification
Suite à la notification d’une faille ou d’un incident de sécurité, le fournisseur doit transmettre au coordinateur PCI SSC PA-DSS toutes les informations pertinentes relatives à cette faille ou à cet incident de sécurité. Cela peut inclure, mais sans s’y limiter, les éléments suivants :
le nombre de comptes compromis (s’il est connu) ;
tous les rapports détaillant la faille ou l’incident de sécurité ;
l'ensemble des rapports ou évaluations réalisés à des fins d’investigation sur la faille ou l'incident de sécurité.
Le PCI SSC, conformément aux termes de l’accord de diffusion, a la possibilité de partager ces informations et les autres informations requises pour prendre en charge ou autoriser l’exécution d’une
évaluation de la faille ou de l’incident de sécurité afin d'atténuer les risques ou d’empêcher tout nouvel incident du même type.
Actions faisant suite à une faille ou à un incident de sécurité
Si le PCI SSC détecte une faille au niveau de la sécurité ou un incident relatif à un produit spécifique ou à un groupe de produits, comme ceux répertoriés dans la liste des applications de paiement conformes à la norme PA-DSS, il peut appliquer les mesures suivantes :
Informer toutes les marques de cartes de paiement qu’une faille ou un incident de sécurité s'est produit.
Tenter d’obtenir le rapport officiel pour évaluer avec précision la façon dont l’incident s’est produit.
Contacter le fournisseur pour lui signaler qu’une faille de sécurité a été détectée sur son produit, ou que celui-ci a été compromis et, si possible, partager les informations relatives à la faille ou l'incident en question.
Poursuivre les efforts entrepris par le fournisseur pour tenter d’atténuer les risques ou d'empêcher tout nouvel incident du même type.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 28
Poursuivre les efforts entrepris par le fournisseur pour 1) corriger les failles de sécurité et 2) rédiger un document regroupant les directives à transmettre aux clients de ce fournisseur, document les informant sur les vulnérabilités potentielles et détaillant les actions à entreprendre pour atténuer les risques ou empêcher tout nouvel incident du même type.
Travailler avec des organismes d’application des lois afin d’atténuer les risques ou d’empêcher tout nouvel incident du même type.
Prendre en charge et/ou autoriser les évaluations sur le produit compromis en interne ou selon les termes de l'accord de diffusion en faisant appel aux PA-QSA pour identifier l'origine de l'incident.
Retrait d’approbation
Le PCI SSC se réserve le droit de retirer l’acceptation d’une application de paiement et de la supprimer de la liste des applications de paiement conformes à la norme PA-DSS, lorsqu’il est clair que l’application de paiement ne dispose pas d’une protection suffisante contre les menaces actuelles et/ou n’est pas conforme aux exigences PA-DSS. Si le PCI SSC considère que l'application de paiement a une faille de sécurité ou a été compromise, il informe le fournisseur par écrit qu’il a l’intention de retirer son acceptation concernant cette application de paiement.
Guide du programme PCI PA-DSS v. 1.2
Copyright 2008 PCI Security Standards Council LLC
Octobre 2008
Page 29
