FR Glossary

Accès logique à un composant système qui se produit via une interface réseau plutôt que via une connexion physique directe au composant système. L'accès non-console comprend l'accès à partir de réseaux locaux/internes ainsi que l'accès à partir de réseaux externes ou distants.

Acronyme de « Advanced Encryption Standard ». Voir Cryptographie Robuste.

Également appelé « algorithme de chiffrement ». Processus mathématique réversible clairement spécifié utilisé pour transformer des données en texte clair en données chiffrées, et vice versa. Voir Cryptographie Robuste.

Voir Algorithme Cryptographique.

Acronyme de « American National Standards Institute. »

Acronyme de « Attestation de Conformité. » L'AOC est le formulaire officiel du PCI SSC permettant aux commerçants et aux prestataires de services d'attester des résultats d'une évaluation du standard PCI DSS, comme documenté dans un questionnaire d'auto-évaluation (SAQ) ou un rapport de conformité (ROC).

Acronyme de « Asia-Pacific Community Meeting » (Réunion de la Communauté Asie-Pacifique).

Comprend tous les programmes logiciels ou groupes de programmes achetés, personnalisés et sur mesure, y compris les applications internes et externes (par exemple, les applications Web).

Voir « Section PCI DSS : 8 Approches pour la Mise en Œuvre et la Validation du Standard PCI DSS » dans Exigences et procédures d’évaluation de la sécurité du PCI DSS.

Voir « Approches pour la mise en œuvre et la validation du standard PCI DSS » dans Exigences du standard PCI DSS et procédures d'évaluation de la sécurité.

"Acronyme de « Fournisseur d'analyse approuvé ». Entreprise agréée par le PCI SSC pour mener des services externes de scan de vulnérabilités."

Processus de vérification de l'identité d'une personne, d'un appareil ou d'un processus. L'authentification se produit généralement avec un ou plusieurs facteurs d'authentification. Voir Compte, Identifiants D'authentification, et Facteur D'authentification.

Authentification conçue pour empêcher la divulgation et l'utilisation de secrets d'authentification à toute partie autre que le système légitime auprès duquel l'utilisateur tente de s'authentifier (par exemple, via des attaques par le procédé inthe-middle (ITM) ou par usurpation d'identité). Les systèmes résistants à l’hameçonnage mettent souvent en œuvre la cryptographie asymétrique comme mesure de sécurité principal. Les systèmes qui s'appuient uniquement sur des facteurs basés sur la connaissance ou limités dans le temps, tels que les mots de passe ou les mots de passe à usage unique (OTP), ne sont pas considérés comme résistants à l’hameçonnage, pas plus que les SMS ou les liens magiques. FIDO2 est un exemple d'authentification résistant au l’hameçonnage.

Acronyme de « Board of Advisors » (Conseil Consultatif).

Méthodes utilisées par les commerçants pour accepter les paiements des clients. Les canaux de paiement courants incluent la carte présente (en personne) et la carte non présente (commerce électronique et MO/TO).

Aux fins du standard PCI DSS, tout facteur de forme de carte de paiement portant le logo de toute Marque de Paiement Participante du PCI SSC.

"Acronyme pour « Cardholder Data Environment. » (Environnement de données des titulaires de cartes) Le CDE se
compose de :

• Les composants système, aux personnes et aux processus qui stockent, traitent et transmettent les données de titulaires de cartes et/ou des données d'authentification sensibles, et
• Les composants système qui ne doivent pas stocker, traiter ou transmettre des CHD/SAD mais qui ont une connectivité illimitée aux composants système qui stockent, traitent ou transmettent les CHD/SAD.

La transformation (réversible) des données par un algorithme cryptographique pour produire un texte chiffré, c'est-à-dire pour masquer le contenu informatif des données. Voir Cryptographie Robuste.

Technique ou technologie (logicielle ou matérielle) permettant de chiffrer l'intégralité du contenu de fichiers spécifiques. Vous pouvez également consulter Chiffrement de Disque et Chiffrement des Bases de Données au Niveau des Colonnes.

Technique ou technologie (logicielle ou matérielle) pour chiffrer le contenu d'une colonne spécifique dans une base de données par rapport au contenu complet de la base de données entière. Vous pouvez également consulter Chiffrement du Disque et Chiffrement au Niveau des Fichiers.

Technique ou technologie (logicielle ou matérielle) permettant de chiffrer toutes les données stockées sur un appareil (par exemple, un disque dur ou une clé USB). Alternativement, le Chiffrement au Niveau des Fichiers ou le Chiffrement de la Base de Données au Niveau de la Colonne est utilisé pour chiffrer le contenu de fichiers ou de colonnes spécifiques.

Paramètre utilisé conjointement avec un algorithme cryptographique utilisé pour des opérations telles que :

• Transformer des données en texte clair en données chiffrées,
• Transformer des données chiffrées en données en texte clair,
• Une signature numérique calculée à partir de données,
• Vérifier une signature numérique calculée à partir de données,
• Un code d'authentification calculé à partir de données, ou
• Un accord d'échange d'un secret partagé 

   Voir Cryptographie Robuste.

Valeur à trois ou quatre chiffres dans la piste magnétique qui suit la date d'expiration de la carte de paiement sur les données de piste. Il est utilisé pour diverses choses, telles que la définition des attributs de service, la différenciation entre les échanges internationaux et nationaux ou l'identification des restrictions d'utilisation.

Également appelé code ou valeur de validation de la carte, ou code de sécurité de la carte. Aux fins du PCI DSS, il s’agit de la valeur à trois ou quatre chiffres imprimée au recto ou au verso d’une carte de paiement. Peut être appelé CAV2, CVC2, CVN2, CVV2 ou CID selon les Marques de Paiement Participantes. Pour plus d’informations, contactez les Marques de Paiement Participantes.

Aux fins du standard PCI DSS, un commerçant est défini comme toute entité qui accepte les cartes de paiement portant les logos de toute Marque de Paiement Participante du PCI SSC comme moyen de paiement pour des biens et/ou des services. Un commerçant qui accepte les cartes de paiement pour le paiement de biens et/ou de services peut également être un prestataire de services, si les services vendus entraînent le stockage, le traitement ou la transmission de données de titulaires de cartes pour le compte d'autres commerçants ou prestataires de services. Par exemple, un ISP est un commerçant qui accepte les cartes de paiement pour la facturation mensuelle, mais est également un fournisseur de services s'il héberge des commerçants en tant que clients.

Également appelé « ID d'utilisateur », « ID de compte » ou « ID d'application ». Utilisé pour identifier une personne ou un processus sur un système informatique. Voir Identifiants D'authentification et Facteur D'authentification.

Écran et/ou clavier directement connectés qui permettent l'accès et le contrôle d'un serveur, d'un ordinateur central ou d'un autre type de système. Voir Accès Non-console.

Mécanismes qui limitent la disponibilité des informations ou des ressources de traitement de l'information uniquement aux personnes ou applications autorisées. Voir Contrôle d’accès physique.

Mécanismes qui limitent l'accès à un espace physique ou à un environnement aux seules personnes autorisées. Voir Contrôle D’accès Logique.

Processus et procédures pour examiner, tester et approuver les modifications apportées aux systèmes et aux logiciels avant leur mise en œuvre.

La cryptographie est une méthode de protection des données via un processus de chiffrement réversible et est d'une primitive fondamentale utilisée dans de nombreux protocoles et services de sécurité. La cryptographie robuste est basée sur des algorithmes testés et acceptés par l'industrie, ainsi que sur des longueurs de clé qui fournissent un minimum de 112 bits de force de clé effective et des pratiques appropriées de gestion des clés. La force effective de la clé peut être plus courte que la longueur réelle en "bits" de la clé, ce qui peut conduire à des algorithmes avec des clés plus grandes offrant une protection moindre que des algorithmes avec des tailles de clé réelles plus petites, mais avec des tailles de clé effectives plus grandes. Il est recommandé que toutes les nouvelles mises en œuvre utilisent un minimum de 128 bits de force de clé effective. Ci-dessous des exemples de références de l'industrie sur les algorithmes cryptographiques et les longueurs de clé :

• Publication spéciale 800-57 du NIST, Partie 1,
• BSI TR-02102-1,
• ECRYPT-CSA D5.4 Rapport sur les algorithmes, la taille des clés et les protocoles (2018), et
• Algorithmes de chiffrement ISO/IEC 18033, et
• ISO/IEC 18033- Encryption Algorithms,
• ISO/IEC 14888-3:2-81 Techniques de sécurité informatique – Signatures numériques avec annexe – Partie 3 : Mécanismes basés sur le logarithme discret.

La durée pendant laquelle une clé cryptographique peut être utilisée pour son but défini. Souvent définie en termes de période pendant laquelle la clé est active et/ou la quantité de texte chiffré qui a été produite par la clé, et selon les meilleures pratiques et directives de l'industrie (par exemple, NIST Special Publication 800-57).

Acronyme de « Common Vulnerability Scoring System » (Système commun de notation des vulnérabilités). Se reporter au Guide du Programme ASV pour plus d'informations.

Un diagramme montrant les composants système et les connexions dans un environnement en réseau.

Informations liées à la sécurité utilisées pour authentifier les titulaires de cartes et/ou autoriser les transactions par carte de paiement. Ces informations incluent, sans toutefois s'y limiter, les codes de vérification de la carte, les données de piste complètes (à partir d’une piste magnétique ou équivalente sur une puce), les codes PIN et les blocs PIN.

Voir Données de Suivi.

Acronyme de « Digital Operational Resilience Act » (Loi sur la Résilience Opérationnelle Numérique).

Processus consistant à utiliser deux ou plusieurs entités distinctes (généralement des personnes) agissant de concert pour protéger des fonctions ou des informations sensibles. Les deux entités sont également responsables de la protection physique du matériel impliqué dans les transactions vulnérables. Aucune personne n'est autorisée à accéder ou à utiliser le matériel (par exemple, la clé cryptographique). Pour la génération, le transport, le chargement, le stockage et la récupération manuels des clés, le double contrôle nécessite de répartir la connaissance de la clé entre les entités. Voir Fractionnement des Connaissances.

Serveur qui redirige le navigateur d'un consommateur du site Web d'un marchand vers un emplacement différent pour le traitement des paiements lors d'une transaction de commerce électronique.

Acronyme de « Elliptic Curve Cryptography » (cryptographie à courbe elliptique). Voir Cryptographie Robuste.

Processus à l'échelle de l'entreprise qui identifie les ressources système précieuses et les menaces ; quantifie les expositions aux pertes (c'est-à-dire les pertes potentielles) en fonction des fréquences et des coûts d'occurrence estimés ; et (éventuellement) recommande la manière d'allouer des ressources aux contre-mesures pour minimiser l'exposition totale. Voir Analyse de Risques Ciblée.

Une restriction légale due à une loi, une réglementation ou une exigence réglementaire locale ou régionale, dans laquelle le respect d'une exigence PCI DSS violerait cette loi, cette réglementation ou cette exigence réglementaire. Les obligations contractuelles ou les conseils juridiques ne constituent pas des restrictions légales. Consulter les documents PCI DSS v4.x suivants pour plus d'informations sur la déclaration des exceptions légales :

• Le Modèle de Rapport de Conformité (ROC) et Les Attestations de Conformité Associées
• Les Questionnaires D’auto-évaluation (SAQ) et Les Attestations de Conformité Associées

Remarque : Lorsqu'une entité opère sur plusieurs sites, une exception légale ne peut être invoquée que pour les sites régis par la loi, la réglementation ou l'exigence réglementaire, et ne peut pas être invoquée pour les sites dans lesquels cette loi, cette réglementation ou cette exigence réglementaire est inapplicable.

L'élément utilisé pour prouver ou vérifier l'identité d'une personne ou d'un processus sur un système informatique. L'authentification se produit généralement avec le ou les facteurs d'authentification suivant :

• Quelque chose que vous connaissez, comme un mot de passe ou une phrase de secrète,
• Un objet que vous possédez, tel qu'un dispositif à jeton ou une carte à puce,
• Quelque chose que vous êtes, comme un élément biométrique.

L'ID (ou le compte) et le facteur d'authentification sont considérés ensemble comme des identifiants d'authentification. Voir Compte et Identifiant D'authentification.

Acronyme de « Global Executive Assessor Roundtable » (Table Ronde des Évaluateurs Exécutifs Mondiaux).

La génération de clés est l'une des fonctions de la gestion des clés. Les documents suivants fournissent des conseils reconnus sur la génération appropriée de clés :

• NIST Special Publication 800-133 : Recommandation pour la génération de clés cryptographiques
• ISO 11568-2 — Services financiers — Gestion des clés (détail) — Partie 2 : Chiffrement symétrique, gestion des clés et cycle de vie
  • 4.3 Génération des clés
• ISO 11568-4 — Services financiers — Gestion des clés (détail) — Partie 4 : Cryptosystèmes asymétriques — Gestion des clés et cycle de vie
  • 6.2 Principales étapes du cycle de vie — Génération
• Conseil Européen des Paiements — EPC 342-08 — Directives sur l'utilisation des algorithmes et la gestion des clés
  • 6.1.1 Génération des clés [pour les algorithmes symétriques]
  • 6.2.1 Génération des clés [pour les algorithmes asymétriques]

• Il est informatiquement impossible de déterminer l'entrée d'origine avec uniquement le code de hachage,
• Il est informatiquement impossible de trouver deux entrées qui donnent le même code de hachage.

Une fonction de hachage qui incorpore une clé secrète générée de manière aléatoire pour offrir une résistance aux attaques par force brute et une intégrité d'authentification secrète. Les algorithmes de hachage cryptographique (ou de scellement) à clé appropriés incluent, sans toutefois s'y limiter : HMAC, CMAC et GMAC, avec une force cryptographique effective d'au moins 128 bits (NIST SP 800-131Ar2). Se reporter à ce qui suit pour plus d'informations sur HMAC, CMAC et GMAC, respectivement : NIST SP 800-107r1, NIST SP 800-38B, et NIST SP 800-38D). Voir NIST SP 800-107 (Révision 1) : Recommandation pour les Applications Utilisant des Algorithmes de Hachage Approuvés §5.3.

Combinaison de l'ID utilisateur ou de l'ID de compte plus le ou les facteurs d'authentification utilisés pour authentifier une personne, un appareil ou un processus. Voir Compte et Facteur D'authentification.

Acronyme de « Internal Security Assessor » (Évaluateur de la Sécurité Interne).

Voir Journal D’audit.

Acronyme de « Key Management Operations » (Opérations de Gestion Clés).

Un logiciel sur mesure est développé pour l'entité par un tiers au nom de l'entité et selon les spécifications de l'entité. Le logiciel personnalisé est développé par l'entité pour son propre usage.

En cryptographie, acronyme de « code d'authentification de message ». Voir Cryptographie Robuste.

Une entreprise avec des cartes de paiement de marque ou d'autres facteurs de forme de carte de paiement. Les réseaux internationaux réglementent où et comment les cartes de paiement ou autres facteurs de forme portant leur marque ou leur logo sont utilisés. Une marque de paiement peut être une Marque de Paiement Participante du PCI SSC ou une autre marque, système ou réseau de paiement mondial ou régional.

Également appelée “marque de paiement”. Une marque de carte de paiement qui, à l’époque considérée, est officiellement admise en tant que membre (ou affiliée à un membre) du PCI SSC conformément à ses documents constitutifs. Au moment de la rédaction du présent document, les Marques de Paiement Participantes incluent les Membres Fondateurs et les Membres Stratégiques du PCI SSC.

Acronyme de « Mail-Order/Telephone-Order ».

Acronyme de « Mobile Payments on COTS » (Paiements Mobiles sur COTS).

Acronyme de « Open Web Application Security Project ».

Acronyme de « Point-to-Point Encryption » (Chiffrement Point à Point).

• Un document ou une instance unique,
• Un document ou un composant affiché dans un cadre inséré dans une page de non-paiement,

Employés à temps plein et à temps partiel, employés temporaires, sous-traitants et consultants ayant des responsabilités de sécurité pour la protection des données de carte ou pouvant avoir un impact sur la sécurité des données de titulaires de carte et/ou des données d’authentification sensibles. Voir le Visiteur.

Processus d'identification de tous les composants, personnes et processus du système à inclure dans une évaluation du standard PCI DSS. Voir la section 4 du PCI DSS : Portée des Exigences du Standard PCI DSS.

Acronyme de « Principal Participating Organization » (Organisation Participante Principale).

Entité commerciale qui n'est pas une marque de paiement, directement impliquée dans le traitement, le stockage ou la transmission de données de titulaires de cartes (CHD) et/ou des données d’authentification sensibles pour le compte d'une autre entité. Cela inclut les passerelles de paiement, les prestataires de services de paiement (PSP) et les entreprises de vente indépendantes (ISO). Cela inclut également les entreprises qui fournissent des services qui contrôlent ou pourraient avoir un impact sur la sécurité des CHD et/ou des SAD. Les exemples incluent les prestataires de services gérés qui fournissent des pare-feu gérés, des IDS et d'autres services, ainsi que des fournisseurs d'hébergement et d'autres entités. Si une entité fournit un service qui implique uniquement la fourniture d'un accès au réseau public, telle une entreprise de télécommunications fournissant uniquement la liaison de communication, l'entité ne serait pas considérée comme un prestataire de services pour ce service (bien qu'elle puisse être considérée comme un prestataire de services pour d'autres services). Consulter les Rubriques Prestataire de Services Mutualisés et Prestataire de Services Tiers.

Un type de fournisseur de services tiers qui offre divers services partagés aux commerçants et autres fournisseurs de services, où les clients partagent les ressources système (telles que les serveurs physiques ou virtuels), l'infrastructure, les applications (y compris le logiciel en tant que service (SaaS)), et/ou des bases de données, l'accès à ces ressources ou services étant logiquement contrôlé ou partitionné pour maintenir les ressources contenues et les données isolées entre les clients. Les services peuvent inclure, sans toutefois s'y limiter, l'hébergement de plusieurs entités sur un seul serveur partagé, la fourniture de services de commerce électronique et/ou de "panier d'achat", des services d'hébergement Web, des applications de paiement, diverses applications et services cloud, et des connexions à des passerelles de paiement et des processeurs. Voir Prestataire de Services et Prestataire de Services Tiers.

Tout tiers agissant en tant que prestataire de services pour le compte d'une entité. Consulter la Rubrique Prestataire de Services Mutualisés et Prestataire de Services.

Parfois appelée « passerelle de paiement » ou « Prestataire de services de paiement (PSP) ». Entité engagée par un commerçant ou une autre entité pour gérer les transactions par carte de paiement en son nom. Voir Acquéreurs.

Acronyme de « Qualified Integrator or Reseller » (Intégrateur ou Revendeur Qualifié). Se reporter au Guide du programme QIR sur le site Web du PCI SSC pour plus d'informations.

Acronyme de « Qualified PIN Assessor » (Évaluateur PIN Qualifié).

Acronyme de « Qualified Security Assessor » (auditeur de sécurité qualifié). Les entreprises QSA sont qualifiées par le PCI SSC pour valider le respect par les entités des exigences PCI DSS des évaluations sur place du standard PCI DSS. Se reporter aux exigences de qualification des QSA pour plus de détails sur les exigences pour les Entreprises et Employés QSA.

Acronyme de « Regional Engagement Board. » (Conseils Régionaux pour l'Engagement).

Acronyme de « Request for Comment » (Demande de Commentaires).

Acronyme de « Report on Compliance » (Rapport sur la conformité). Outil de reporting utilisé pour documenter les résultats détaillés de l'évaluation du standard PCI DSS d'une entité.

Acronyme de « Roadmap Roundtable Group » (Groupe de Table Ronde sur la Feuille de Route).

Algorithme de chiffrement à clé publique. Voir Cryptographie Robuste.

Également appelée « segmentation du réseau » ou « isolation ». La segmentation isole les composants système qui stockent, traitent ou transmettent les données des titulaires de cartes des systèmes qui ne le font pas. Voir « Segmentation » dans la section 4 : Portée des Exigences du Standard PCI DSS.

Pratique consistant à diviser les étapes d'une fonction entre plusieurs individus, pour empêcher un seul individu de subvertir le processus.

Les exemples de services d'émission comportent, sans toutefois s'y limiter, l'autorisation et la personnalisation de la carte.

Un appareil physique, souvent relié à un lecteur de carte légitime, conçu pour capturer et/ou stocker de manière illégitime les informations d'une carte de paiement.

Acronyme de « Technical Advisory Board » (Conseil Consultatif Technique).

Acronyme de « Triple Data Encryption Standard » (Standard de chiffrement triple des données). Aussi appelée « 3DES » ou « Triple DES ».

Abréviation de « telephone network protocol » (protocole de réseau téléphonique).

Acronyme de « Technology Guidance Group » (Groupe de directive en Matière de Technologie).

Client auquel une carte de paiement est émise ou toute personne autorisée à utiliser la carte de paiement. Voir le Visiteur.

Un fournisseur, un invité de tout membre du personnel, un employé de service ou un membre du personnel qui n'a normalement pas accès à la zone concernée. Les titulaires de carte présents dans un point de vente au détail pour acheter des biens ou des services ne sont pas considérés comme des « visiteurs ». Voir Titulaire de carte et Personnel.