Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
Les services cloud distribués F5 sont conformes à la norme PCI-DSS en tant que fournisseur de services de niveau 1.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) encourage et améliore la sécurité des données des comptes de cartes de paiement et facilite une adoption plus large de mesures de sécurité des données cohérentes à l'échelle mondiale. La norme PCI DSS fournit une base d’exigences techniques et opérationnelles conçues pour protéger les données de compte. Bien que spécifiquement conçu pour se concentrer sur les environnements contenant des données de compte de carte de paiement, PCI DSS peut également être utilisé pour se protéger contre les menaces et sécuriser d'autres éléments de l'écosystème de paiement.
La norme PCI DSS est destinée à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes (CHD) et/ou des données d'authentification sensibles (SAD) ou qui pourraient avoir un impact sur la sécurité de l'environnement des données de titulaires de cartes (CDE). Cela inclut toutes les entités impliquées dans le traitement des comptes de cartes de paiement, y compris les commerçants, les processeurs, les acquéreurs, les émetteurs et autres prestataires de services.
La conformité à la norme PCI DSS garantit également que les entreprises adhèrent aux meilleures pratiques du secteur lors du traitement, du stockage et de la transmission des données de carte de crédit. À son tour, la conformité PCI DSS favorise la confiance entre les clients et les parties prenantes.
La norme PCI DSS comprend un ensemble minimum d’exigences pour la protection des données de compte et peut être améliorée par des contrôles et des pratiques supplémentaires pour atténuer davantage les risques. Le tableau ci-dessous répertorie les exigences PCI DSS à un niveau élevé. F5 est qualifié de fournisseur de services de niveau 1 et, bien qu'il ne traite, ne stocke ni ne transmette de CHD/SAD, il pourrait avoir un impact sur la sécurité de l'environnement de données du titulaire de carte (CDE) de nos clients.
Produits applicables: Cloud distribué F5, défense contre les bots et Silverline
| Norme de sécurité PCI DSS – Présentation générale |
|
|
|||
|---|---|---|---|---|---|
| Construire et entretenir un réseau et des systèmes sécurisés | 1. Installer et maintenir les contrôles de sécurité du réseau 2. Appliquer les configurations sécurisées à tous les composants du système. |
||||
Protéger les données du compte |
3. Protégez les données de compte stockées. 4. Protégez les données du titulaire de la carte avec une cryptographie puissante lors de la transmission sur des réseaux publics ouverts. |
||||
| Maintenir un programme de gestion des vulnérabilités | 5. Protégez tous les systèmes et réseaux contre les logiciels malveillants. 6. Développer et maintenir des systèmes et des logiciels sécurisés. |
||||
| Mettre en œuvre des mesures de contrôle d’accès strictes | 7. Restreindre l'accès aux composants du système et aux données des titulaires de cartes en fonction des besoins de l'entreprise. 8. Identifier les utilisateurs et authentifier l'accès aux composants du système. 9. Restreindre l’accès physique aux données du titulaire de la carte. |
||||
| Surveiller et tester régulièrement les réseaux | 10. Enregistrez et surveillez tous les accès aux composants du système et aux données des titulaires de carte. 11. Testez régulièrement la sécurité des systèmes et des réseaux. |
||||
| Maintenir une politique de sécurité de l'information | 12. Soutenir la sécurité de l’information avec les politiques et programmes organisationnels.
|
||||
Source: Norme de sécurité des données du secteur des cartes de paiement : Exigences et procédures de test, v4.0
FAQ
Quelles données personnelles F5 traite-t-elle pour ses clients ?
Pour de nombreux services, F5 agit en tant que « sous-traitant » (et non en tant que responsable du traitement) des données personnelles nécessaires à la fourniture d’un service. Les détails sur les données personnelles traitées par F5 sont répertoriés dans les déclarations de confidentialité de chaque service. Retrouvez tous les liens vers la déclaration de confidentialité spécifique au service dans l'introduction de l'avis de confidentialité de F5 à l'adresse https://www.f5.com/company/policies/privacy-notice .
Quelles mesures de sécurité spécifiques F5 prévoit-il pour les données personnelles ?
F5 et ses services accordent la priorité à la protection des données personnelles et respectent les normes les plus élevées en matière de confidentialité des données. Les contrôles techniques et organisationnels qui protègent les données personnelles collectées par F5 sont répertoriés dans les contrats de service spécifiques (par exemple, les conditions spécifiques au service applicables aux services fournis en vertu de notre contrat de services aux utilisateurs finaux) et dans le rapport SOC2 Type II de F5. F5 Global Support est certifié ISO 27001 et F5 Distributed Cloud Services est certifié ISO 27001 avec une extension ISO 27017 et ISO 27018. F5 est également conforme à la norme PCI-DSS en tant que fournisseur de services de niveau 1 pour les services cloud distribués F5. Des certifications de sécurité supplémentaires s'appliquent à des services F5 et à du matériel F5 spécifiques. Retrouvez des informations plus détaillées sur les pratiques de sécurité des données sur https://www.f5.com/company/policies/privacy-notice .
