13/10/2010

PCI DSS 2.0, l'arrivée du CVSS




La très attendue version 2.0 du standard PCI DSS ne se révèle pas révolutionnaire.

Beaucoup d'entreprises soumises au standard attendaient cette version avant d'entamer toute démarche avec la version 1.2 en se disant que tout aller changer et qu'il était plus intéressant d'attendre le détail de la future version.

Inutile d'attendre, le standard ne bouge presque pas, il évolue vers plus de précisions , mais toujours avec 12 chapitres, un lot de 220 exigences et un procédé de certification identique.

Parmi les points les plus attendus, le PCI SSC confirme officiellement que la virtualisation n'est pas un frein à la certification et que le CVV2 peut être conservé par l'émetteur de la carte.

Notons également que la fameuse approche "risk based" - pour l'application des correctifs de sécurité - ne laisse pas la liberté de "ne pas patcher". L'approche a simplement positionné le curseur entre les correctifs critiques et les correctifs qui peuvent attendre 3 mois: si la note CVSS du correctif est >= 4, alors le correctif est critique et doit donc être installé dans le mois.

Cette version 2.0 du PCI DSS n'apporte finalement pas d'assouplissement du standard ni des moyens de faire des exceptions plus facilement (reste toujours les compensatives controls...).

Tout comme le web 2.0 : ça change rien !

Aucun commentaire:

Enregistrer un commentaire