Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Norme industrielle Actif

PCI DSS v4.0

La norme de sécurité des données de l'industrie des cartes de paiement impose un inventaire strict des certificats, la gestion TLS et le contrôle du cycle de vie des clés cryptographiques pour sécuriser les environnements de données des titulaires de cartes.

Faits rapides

Statut
Actif
Type
Norme industrielle
Portée
Traitement des cartes de paiement
Version
4.0
Exigence clé
4.2.1 (inventaire des certificats)

Vue d'ensemble

PCI DSS v4.0 (publié en mars 2022, obligatoire en mars 2025) est la norme mondiale pour protéger les données des titulaires de cartes. Développée par le PCI Security Standards Council, elle s'applique à toute organisation qui stocke, traite ou transmet des informations de cartes de paiement.

Exigence 4.2.1 maintenant exige explicitement un inventaire des certificats et la gestion de la configuration TLS — rendre la gestion du cycle de vie des certificats une exigence de conformité, et non simplement une bonne pratique. Cela représente un changement important pour les organisations qui considéraient auparavant la gestion des certificats comme une préoccupation opérationnelle plutôt qu’une obligation de conformité.

Les exigences 3 et 4 couvrent le chiffrement des données stockées et transmises, tandis que l'exigence 8 traite de l'authentification. Ensemble, ces exigences créent un cadre de contrôle cryptographique complet qui exige une gestion rigoureuse du cycle de vie des clés, de la génération à la destruction.

Clé Exigences

Exigence 4.2.1 — Inventaire des certificats & Gestion TLS

Les organisations doivent tenir un inventaire des clés et certificats de confiance, et gérer les configurations TLS afin de protéger les données des titulaires de cartes en transit.

Exigence 3 — Protéger les données de compte stockées

Les données de titulaire de carte stockées doivent être chiffrées à l'aide d'une cryptographie forte avec des procédures de gestion des clés appropriées tout au long du cycle de vie des clés.

Exigence 4 — Chiffrer la transmission sur les réseaux ouverts

Les données de titulaire de carte transmises sur des réseaux ouverts et publics doivent être protégées par un chiffrement TLS fort utilisant des certificats correctement gérés.

Exigence 8 — Authentification forte

Authentification multifacteur et authentification basée sur des certificats requises pour l'accès administratif aux environnements de données de titulaire de carte.

Exigence 6 — Systèmes sécurisés & Logiciels

Les systèmes et les logiciels doivent être développés et maintenus de manière sécurisée, y compris la validation correcte des certificats dans les applications personnalisées.

Exigence 10 — Journaliser & surveiller tout accès

Tout accès aux ressources réseau et aux données des titulaires de cartes doit être journalisé et surveillé, y compris les opérations de certificats et les événements d’utilisation des clés.

Clé Jalons

04
2004

PCI DSS v1.0 lancé

La première version de la norme de sécurité des données de l’industrie des cartes de paiement est publiée, établissant les exigences de sécurité de base pour la protection des données des titulaires de cartes.

18
2018

PCI DSS v3.2.1

La version largement adoptée consolidant les mises à jour précédentes, avec des exigences clarifiées pour le chiffrement et les pratiques de gestion des clés.

22
2022

PCI DSS v4.0 publié

Révision majeure publiée en mars 2022, introduisant l'exigence 4.2.1 pour l'inventaire des certificats et des contrôles cryptographiques renforcés.

24
2024

v3.2.1 retiré

PCI DSS v3.2.1 officiellement retiré en mars 2024. Toutes les évaluations doivent désormais utiliser la version v4.0 comme norme de référence.

25
2025 Actuel

Exigences à date future obligatoires

Toutes les exigences à date future dans PCI DSS v4.0 deviennent obligatoires en mars 2025, y compris les contrôles améliorés de gestion des certificats et du TLS.

Impact sur PKI & Certificates

PCI DSS v4.0 élève la gestion des certificats et des clés d’une pratique opérationnelle exemplaire à une exigence de conformité explicite. Voici les domaines critiques :

1

Mandat d’inventaire des certificats

L’exigence 4.2.1 oblige explicitement les organisations à maintenir un inventaire complet des clés et certificats de confiance utilisés pour protéger les données des titulaires de cartes en transit.

2

Gestion de la configuration TLS

Tous les flux de données des titulaires de cartes doivent utiliser un TLS correctement configuré avec des certificats valides, nécessitant une surveillance continue des configurations TLS à travers l’ensemble de l’infrastructure de paiement.

3

Cycle de vie des clés cryptographiques

Les exigences 3.6 et 3.7 imposent une gestion complète du cycle de vie des clés — de la génération et de la distribution jusqu’au stockage, la rotation et la destruction sécurisée des clés cryptographiques.

4

Authentification basée sur les certificats

L’exigence 8 prend en charge l’authentification basée sur les certificats pour l’accès administratif aux environnements de données de titulaires de cartes, nécessitant des processus robustes de provisionnement et de révocation des certificats.

Comment nous aidons

Evertrust & PCI DSS v4.0

Inventaire automatisé des certificats — Horizon satisfait directement l’exigence 4.2.1 avec une découverte continue et un inventaire de tous les certificats dans votre environnement de données de titulaires de cartes.

Surveillance TLS et application des politiques — Surveiller en continu les configurations TLS et appliquer les politiques de sécurité afin d’assurer un chiffrement conforme sur l’ensemble des flux de données de paiement.

Renouvellement automatisé des certificats — Prévenir les interruptions du système de paiement grâce à des flux de renouvellement automatisés qui garantissent que les certificats n’expirent jamais de façon inattendue.

Rapports de conformité prêts pour l’audit — Générer des rapports complets alignés sur les exigences PCI DSS, simplifiant les évaluations QSA et démontrant une conformité continue.

Parler à un expert Découvrez Horizon
Retour au Centre de conformité Obtenez des conseils d'expert