PCI-DSS v4.0 — Ce qui Change pour l'E-commerce

PCI-DSS v4.0 — Les changements clés

La version 4.0 de PCI-DSS (Payment Card Industry Data Security Standard), publiée en mars 2022 et obligatoire depuis le 31 mars 2024, introduit des changements significatifs pour les e-commerçants.

Exigence 11.4 — Tests d'intrusion

Pentest annuel obligatoire sur les périmètres externes et internes en scope PCI. Le pentesteur doit être qualifié et indépendant. Le rapport doit documenter la méthodologie, les résultats et les corrections. Atlas RedConsult fournit des rapports directement compatibles avec cette exigence.

Exigence 6.4.3 — Scripts de paiement

Nouveau dans v4.0 : inventaire et justification de tous les scripts JavaScript sur les pages de paiement, vérification d'intégrité (SRI), autorisation explicite de chaque script. Protection contre les attaques Magecart/e-skimming.

Exigence 6.4.3 — Content Security Policy

Mise en place d'une CSP (Content Security Policy) stricte sur les pages de checkout pour bloquer les scripts non autorisés.

Nouveautés v4.0 vs v3.2.1

Approche "customized implementation" (flexibilité dans la méthode), MFA obligatoire pour tous les accès au CDE (Cardholder Data Environment), exigences renforcées sur l'authentification, nouvelles exigences sur le phishing.

Délais

Les exigences "futures" de v4.0 deviennent toutes obligatoires au 31 mars 2025. Les e-commerçants doivent être pleinement conformes maintenant.