Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Norme sectorielle Actif

PCI DSS Norme

Le standard de sécurité de l'industrie des cartes de paiement, imposant un inventaire strict des certificats, la gestion TLS et le contrôle du cycle de vie des clés cryptographiques pour sécuriser les environnements de données de titulaires de cartes.

En bref

Statut
Actif
Type
Norme sectorielle
Portée
Traitement des cartes de paiement

Vue d'ensemble

La PCI DSS v4.0 (publiée en mars 2022, obligatoire à compter de mars 2025) est la norme mondiale de protection des données des titulaires de cartes. Élaborée par le PCI Security Standards Council, elle s'applique à toute organisation qui stocke, traite ou transmet des informations de cartes de paiement.

L'exigence 4.2.1 impose désormais explicitement un inventaire des certificats et la gestion de la configuration TLS — faisant de la gestion du cycle de vie des certificats une exigence de conformité, et non plus une simple bonne pratique. Il s'agit d'un changement significatif pour les organisations qui considéraient jusqu'ici la gestion des certificats comme un enjeu opérationnel plutôt que comme une obligation de conformité.

Les exigences 3 et 4 couvrent le chiffrement des données stockées et transmises, tandis que l'exigence 8 traite de l'authentification. Ensemble, ces exigences constituent un cadre complet de contrôles cryptographiques qui impose une gestion rigoureuse du cycle de vie des clés, de la génération à la destruction.

Exigences clés

Exig. 4.2.1 — Inventaire des certificats et gestion TLS

Les organisations doivent maintenir un inventaire des clés et des certificats de confiance, et gérer les configurations TLS pour protéger les données de titulaires de cartes en transit.

Exig. 3 — Protection des données stockées des comptes

Les données de titulaires de cartes stockées doivent être chiffrées à l'aide d'une cryptographie forte, avec des procédures appropriées de gestion des clés tout au long de leur cycle de vie.

Exig. 4 — Chiffrement des transmissions sur les réseaux ouverts

Les données de titulaires de cartes transmises sur des réseaux ouverts et publics doivent être protégées par un chiffrement TLS fort utilisant des certificats correctement gérés.

Exig. 8 — Authentification forte

Authentification multifacteur et authentification par certificat exigées pour l'accès administratif aux environnements de données de titulaires de cartes.

Exig. 6 — Systèmes et logiciels sécurisés

Les systèmes et logiciels doivent être développés et maintenus de manière sécurisée, ce qui inclut la validation correcte des certificats dans les applications personnalisées.

Exig. 10 — Journalisation et surveillance des accès

Tous les accès aux ressources réseau et aux données de titulaires de cartes doivent être journalisés et surveillés, y compris les opérations sur les certificats et l'utilisation des clés.

Grandes étapes

04
2004

Lancement de PCI DSS v1.0

La première version de la norme de sécurité des données de l'industrie des cartes de paiement est publiée, posant les exigences de base pour la protection des données des titulaires de cartes.

18
2018

PCI DSS v3.2.1

Version largement adoptée, consolidant les mises à jour précédentes et clarifiant les exigences en matière de chiffrement et de gestion des clés.

22
2022

Publication de PCI DSS v4.0

Révision majeure publiée en mars 2022, introduisant l'exigence 4.2.1 sur l'inventaire des certificats et renforçant les contrôles cryptographiques.

24
2024 En vigueur

Retrait de la v3.2.1

PCI DSS v3.2.1 est officiellement retirée en mars 2024. Tous les audits doivent désormais s'appuyer sur la v4.0 comme norme de référence.

25
2025 Application

Exigences à date future obligatoires

Toutes les exigences à date future de PCI DSS v4.0 deviennent obligatoires en mars 2025, y compris les contrôles renforcés de gestion des certificats et de TLS.

Impact sur la PKI et les certificats

La PCI DSS v4.0 élève la gestion des certificats et des clés du statut de bonne pratique opérationnelle à celui d'exigence explicite de conformité. Voici les domaines clés :
1

Inventaire des certificats obligatoire

L'exigence 4.2.1 impose explicitement aux organisations de maintenir un inventaire complet des clés et certificats de confiance utilisés pour protéger les données de titulaires de cartes en transit.

2

Gestion des configurations TLS

Tous les flux de données de titulaires de cartes doivent utiliser un TLS correctement configuré avec des certificats valides, ce qui nécessite une surveillance continue des configurations TLS sur l'ensemble de l'infrastructure de paiement.

3

Cycle de vie des clés cryptographiques

Les exigences 3.6 et 3.7 imposent une gestion complète du cycle de vie des clés — de la génération et de la distribution au stockage, à la rotation et à la destruction sécurisée des clés cryptographiques.

4

Authentification par certificat

L'exigence 8 prend en charge l'authentification par certificat pour l'accès administratif aux environnements de données de titulaires de cartes, exigeant des processus robustes de provisionnement et de révocation des certificats.

Comment nous aidons

Evertrust & PCI DSS

Inventaire automatisé des certificatsHorizon répond directement à l'exigence 4.2.1 en assurant la découverte et l'inventaire continus de tous les certificats de votre environnement de données de titulaires de cartes.

Surveillance TLS et application des politiquesSurveillez en continu les configurations TLS et appliquez les politiques de sécurité pour garantir un chiffrement conforme sur l'ensemble des flux de données de paiement.

Renouvellement automatisé des certificatsÉvitez les interruptions des systèmes de paiement grâce à des workflows de renouvellement automatisés qui garantissent qu'aucun certificat n'expire de manière inattendue.

Rapports de conformité prêts pour l'auditGénérez des rapports complets, mappés aux exigences PCI DSS, qui simplifient les évaluations QSA et démontrent une conformité continue.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts