Conformité PCI en toute sécurité grâce à la puissance de la technologie cloud native


Par Trevor Morgan, chef de produit chez comforte AG

Avec l'introduction et la commercialisation des services cloud il y a plus de dix ans, l'utilisation de la technologie cloud s'est considérablement accélérée ces dernières années, en particulier dans le secteur FinTech. Qu'est-ce qui explique cette adoption accélérée des services cloud? Les entreprises souhaitent tirer parti des nombreux avantages promis par la migration vers le cloud, notamment une flexibilité, une mobilité, un accès accrus et un retour sur investissement clair en termes de rentabilité. Pour les entreprises financières et commerciales, une exigence de conformité spécifique est impérative: la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). L'industrie des cartes de paiement (PCI) a créé la norme PCI DSS pour garantir que toute organisation qui stocke, traite ou transmet des données de titulaire de carte doit le faire conformément à une norme cohérente acceptée par l'industrie. Cette situation renforce la nécessité de réglementer la sécurité, la confidentialité et la visibilité des données de titulaires de carte (CHD) entre les applications et les plates-formes. Mais quel rôle la technologie native du cloud doit-elle jouer en matière de conformité?

Comme nous le savons, les entreprises veulent bénéficier des avantages opérationnels de la rapidité et de l'agilité, qui leur permettent de faire plus avec moins et donc d'augmenter leurs marges. Cependant, ces considérations comportent des risques supplémentaires. Bon nombre des violations de données que nous constatons et dont nous entendons parler résultent de cyberattaques, de vulnérabilités exposées et de mauvaises configurations de sécurité. En fait, 94% des entreprises ont connu ce qu'elles appellent «un grave problème de sécurité» au cours des 12 derniers mois dans leur environnement de conteneurs. En vertu de la norme PCI DSS, bon nombre de ces incidents auraient pu aboutir à une violation de données réussie ou à un dépôt de non-conformité.

Plusieurs organisations financières ont déjà déplacé bon nombre de leurs opérations numériques vers le cloud ou les technologies natives du cloud. Pourtant, il existe des différences distinctes entre les technologies natives du cloud et du cloud qui doivent être comprises afin d'augmenter le succès de la conformité aux normes réglementaires et industrielles.

Technologie cloud comprend l'infrastructure à la demande, le stockage, les bases de données et toutes sortes de services d'application fournis et fournis via Internet. Les organisations utiliseront cette technologie pour stocker des informations, des programmes et des applications au lieu de compter sur un disque dur d'ordinateur ou un périphérique de stockage situé sur place.

Trevor Morgan

Trevor Morgan

Cloud natif est l'architecture permettant d'assembler tous les composants cloud ci-dessus d'une manière optimisée pour l'environnement cloud. Il s'agit essentiellement d'applications et de services spécialement conçus pour le cloud et emballés dans des conteneurs gérés par des plates-formes telles que Kubernetes. Ces services peuvent être déployés rapidement et évolutifs dans de nombreux environnements différents.

Cependant, des défis du point de vue des risques et de la conformité peuvent survenir lors du passage à la technologie native du cloud. Par exemple, dans des environnements cloud natifs hautement dynamiques où des applications et des services pourraient exister pendant de très courtes périodes de temps, il peut être difficile de définir ce qui pourrait être considéré comme un environnement de données de titulaires de carte traditionnel. La visibilité peut également être un problème lors de l'utilisation de technologies cloud natives. Par exemple, lorsque vous avez des charges de travail éphémères, en particulier avec des conteneurs qui contiennent leurs propres magasins de données et n'existent que pendant de courtes périodes, la présence réelle de données peut être au mieux transitoire. Certaines organisations ont comparé ce processus à un mystère de meurtre essayant de comprendre la nature des données, les relations entre les données et la manière dont elles communiquent à travers ces écosystèmes transitoires. Tout cela peut être délicat, en particulier lorsque vous essayez de faire des choses comme une enquête médico-légale pour d'éventuelles violations de données et des lacunes dans la conformité réglementaire. Alors, comment sécuriser ces données, ou surveiller leur comportement, quand il y a une difficulté évidente à maintenir la visibilité?

Le Conseil PCI SSC a fourni du matériel et des directives claires sur le cloud computing, mais lors de l'utilisation d'environnements de conteneurs dynamiques qui sont mis à l'échelle sur plusieurs applications et écosystèmes, le fait d'auditer, de définir et de sécuriser chaque système peut être extrêmement difficile.

Ajoutez à cela la responsabilité d'assumer la confidentialité et la sécurité des données entre le propriétaire des données et le fournisseur de cloud. Cependant, dans le cadre du modèle de responsabilité partagée PCI, le propriétaire des données doit prendre tout de la responsabilité de protéger les données des titulaires de carte et de s'assurer qu'elles satisfont aux exigences pour toutes les données transmises ou stockées dans leurs applications et bases de données. Si votre organisation y met les données, vous êtes entièrement responsable de la confidentialité et de la sécurité des données.

Pour se conformer à la norme PCI DSS, les entreprises doivent s'assurer que les données des titulaires de carte sont efficacement sécurisées dans ces environnements conteneurisés. Par conséquent, de nombreux décideurs visent à utiliser une approche de sécurité des données qui exploite des architectures à jetons sans état qui peuvent être mises en œuvre de manière transparente pour répondre aux exigences PCI DSS. Par exemple, stocker des jetons au lieu de PAN aidera à réduire la quantité de données sensibles conservées dans ces architectures. En outre, l'utilisation de la tokenisation basée sur des conteneurs pour répondre aux exigences PCI DSS en matière de responsabilité partagée peut être extrêmement bénéfique car elle peut suivre l'agilité, les changements et les exigences de la technologie cloud native, contrairement aux plates-formes de protection des données plus traditionnelles utilisées pour ces environnements.

Les écosystèmes cloud natifs ont la capacité de s'étendre à la demande ou de se rétracter lorsqu'ils sont menacés, et ils offrent de nouvelles possibilités pour aborder et atténuer les risques. Heureusement, la sécurité de la tokenisation peut répondre à cette demande pour les données qu'elle protège dans ces environnements. Les nouveaux écosystèmes natifs du cloud changeront radicalement l'approche du détaillant et du processeur de paiement modernes, mais pour garantir la conformité PCI DSS et une réduction absolue des risques, il est toujours absolument essentiel de suivre une approche de sécurité centrée sur les données plutôt que des méthodes défensives plus traditionnelles.



Source link

Pourquoi composer un magasin sur la toile ?

Un état commerce électronique permet de se lancer à moindres frais pendant rapport aux entreprises classiques. De plus, vous pouvez vous lancer bien plus rapidement. La maîtrise d’un site commerce électronique ne demande pas de présence physique à un endroit précis, sauf peut-être pour le stockage et la préparation des commandes que vous avez la possibilité tout à fait externaliser, ou bien mieux dans l’hypothèse ou vous ne possédez pas de modération (on en parlera plus tard dans l’article).