mercredi 12 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité PCI DSS facilite-t-il la conformité au RGPD ?

PCI DSS facilite-t-il la conformité au RGPD ?

En matière de protection des données, PCI DSS est un standard reconnu. Peut-on s’appuyer sur celui-ci pour adresser la conformité au RGPD ? Et si oui, dans quelle mesure ?

Introduction

Avis d’expert par Eliot Chauvineau, Consultant sécurité junior Provadys / NetXP – Depuis le 25 mai 2018, les organisations publiques et privées qui traitent des données à caractère personnel doivent appliquer le Règlement Général sur la Protection des Données (RGPD), entré en vigueur à cette date, dès lors qu’elles sont établies sur le territoire de l’Union européenne ou que leurs activités ciblent directement des résidents européens.

Les entreprises manipulant des données de carte bancaire (entrant dans la définition de données à caractères personnelles (DCP) introduite par le RGPD) et devant appliquer le standard PCI DSS doivent désormais être également conformes au RGPD.

PCI DSS ?

Toute entreprise manipulant des données de carte bancaire peut, par le biais contractuel, se voir contrainte à se conformer à PCI DSS. C’est un standard évoluant depuis 2004, établi par les grandes marques de l’industrie des cartes de paiement et géré par le Conseil des normes de sécurité PCI (PCI SSC), dans le but de réduire les compromissions (massives) de données de carte bancaire.

Ce standard ne contient pas moins de 250 exigences et est un des textes les plus éprouvés en matière de sécurité des données.

Les deux textes ont pour objectif commun de protéger des données. Pour une entité déjà conforme PCI DSS, il est alors très tentant d’appliquer les mesures déjà mises en œuvre pour la sécurité des données de carte bancaire à toutes les données personnelles traitées. Il apparaît, en effet, que de nombreux parallèles peuvent être faits.

Des mesures transposables

La sécurité des données voulue par les deux textes passe par les incontournables principes de la sécurité de l’information, qu’ils soient techniques ou organisationnels.

Le RGPD impose de sécuriser les traitements à la hauteur des risques pour les personnes concernées par les données. Pour garantir un niveau de sécurité adapté, des mesures telles que la pseudonymisation et le chiffrement des données à caractère personnel peuvent s’avérer nécessaires. Ce niveau de confidentialité de la donnée est imposé naturellement par PCI DSS aux données de carte bancaire. Les moyens techniques mis en œuvre pour rendre illisibles ces données de carte ainsi que pour chiffrer les flux transitant par des réseaux ouverts peuvent alors très bien être étendus à toute donnée à caractère personnel.

Ce n’est bien sûr qu’un exemple. Il serait aussi possible d’aborder le maintien dans le temps des mesures, le processus de notification en cas d’incidents de sécurité touchant les données concernées, ou encore la surveillance des accès, thèmes présents dans les deux textes bien que dans des mesures différentes. Et il y a d’autres points communs !

Attention cependant à ne pas perdre de vue l’objectif final du RGPD : renforcer les droits des citoyens européens vis-à-vis de leurs données personnelles. Et cela comprend leur disponibilité et leur intégrité alors que PCI DSS se focalise uniquement sur la Confidentialité.

Un périmètre plus large

Alors que PCI DSS demeure un référentiel essentiellement technique (malgré quelques mesures organisationnelles comme la gestion des ressources humaines et des sous-traitants, ou encore le processus de notification aux marques de cartes en cas d’incidents de sécurité existent), le RGPD nécessite quant à lui une gouvernance à plus grande échelle, impliquant très fortement l’ensemble des directions de l’entreprise (directions juridiques, métiers et IT) du fait de la portée de son champ d’application beaucoup plus vaste et transverse que PCI DSS.

Une grande partie du texte est en effet consacrée à la mise en place de mesures relatives aux droits des personnes (recueil du consentement libre et éclairé, droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données, et droit d’opposition), aspect totalement absent de PCI DSS.

Conclusion

Le socle de mesures techniques et organisationnelles en place pour PCI DSS peut être un véritable facilitateur pour la mise en place du RGPD. Cependant, PCI DSS ne sera pas utile dans le cadre des mesures relatives à l’exercice des droits des personnes.

Plus généralement, une entreprise soumise à plusieurs textes à tout intérêt à mutualiser au maximum les efforts et à capitaliser sur les processus en place pour adresser les différentes conformités voire à initier un système de management de la conformité intégrant l’ensemble des obligations de l’entreprise. Les particularités de chaque texte sont à prendre en compte. Une analyse détaillée est alors nécessaire.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.