Contacts
maison

Les données sont protégées selon la norme pci dss. Préparation à la certification PCI DSS. Qu'est-ce que mPOS

Amis, nous élargissons la gamme de services fournis et ajouterons bientôt à notre site Web la possibilité de commander des services d'analyse de sites Web à la recherche de codes malveillants (analyse ASV), ce qui est requis par la certification PCI DSS. À cet égard, nous lançons une nouvelle section de publications liées aux normes et exigences de sécurité des données. Et tout d'abord, nous voulons parler de la certification PCI DSS. L'utilisation des paiements par carte de crédit et de débit implique le transfert, le stockage et le traitement éventuels des données de carte de paiement, ce qui augmente le risque de cybercriminalité. À cet égard, MasterCard, Visa, American Express et d'autres systèmes de paiement imposent certaines exigences de sécurité aux commerçants et prestataires de services qui travaillent avec les données des cartes de paiement. Ces exigences sont décrites dans la norme PCI DSS. Comprenons ce qu'est la certification PCI DSS et quels sont les principaux points que vous devez savoir.

Qu'est-ce que la norme PCI DSS ?

PCI DSS est l'abréviation de Payment Card Industry Data Security Standard, ce qui signifie la norme de sécurité des données de l'industrie des cartes de paiement. PCI DSS a été développé par le PCI SSC (Payment Card Industry Security Standards Council). Les membres fondateurs du conseil PCI SSC - Visa, MasterCard, American Express, JCB International et Discover Financial Services - ont convenu d'adopter une norme de sécurité commune dans le cadre des exigences techniques pour chacun de leurs programmes de conformité en matière de sécurité des données. De plus, chaque membre fondateur reconnaît Auditeurs de sécurité qualifiés PCI SSC(Qualified Security Assessors, QSA) et fournisseurs de numérisation agréés(Fournisseurs de numérisation agréés, ASV). Ce dernier comprend notre partenaire Comodo, dont le service de numérisation sous licence Service d'analyse PCI HackerGuardian sera bientôt disponible à la commande sur notre site internet.

Qui a besoin de la certification PCI DSS ?

Toute personne travaillant avec des cartes de paiement ou affectant de quelque manière que ce soit leur sécurité doit veiller à la sécurité des données des cartes de paiement, et celles-ci peuvent être :
  • Entreprises de commerce et de services de toute taille
  • Institutions financières
  • Fournisseurs de terminaux de point de vente
  • Les fabricants de matériel et de logiciels, en un mot, tous ceux qui créent et utilisent l'infrastructure internationale de traitement des paiements.

Par conséquent, les exigences des normes PCI DSS s'appliquent à toutes les organisations, indépendamment de leur taille ou du nombre de transactions qui reçoivent, transfèrent, traitent ou stockent des informations sur les titulaires de cartes de crédit, ou si les processus commerciaux de ces organisations peuvent affecter la sécurité de cartes de paiement. .

Exigences PCI DSS

La certification PCI DSS implique la conformité à la norme, qui se compose de 12 sections d'exigences complètes pour assurer la sécurité des informations sur les propriétaires de cartes de paiement avec lesquelles les commerçants et les fournisseurs de services travaillent. Le respect des exigences de la norme PCI implique une mise en œuvre complète de mesures pour assurer la sécurité à chaque étape du travail avec les cartes de paiement, du transfert des données à leur stockage dans les bases de données de l'entreprise.
Objets de contrôle Exigences PCI DSS
Construire et maintenir un réseau sécurisé 1. Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de cartes de paiement
2. Désactivation des paramètres par défaut pour les systèmes de mot de passe et autres paramètres de sécurité
Protection des données des titulaires de cartes de paiement 3. Protection des données reçues des titulaires de cartes de paiement
4. Cryptage de la transmission des données des titulaires de cartes de paiement sur des réseaux publics ouverts
Soutien au programme de gestion des vulnérabilités 5. Utilisez et mettez régulièrement à jour un logiciel antivirus sur tous les systèmes couramment affectés par des logiciels malveillants
6. Développement et support de systèmes et d'applications sécurisés
Mettre en œuvre un contrôle d'accès renforcé 7. Restriction de l'accès aux données des titulaires de cartes de paiement en cas de besoin d'en connaître
8. Attribution d'un numéro d'identification unique à chaque personne ayant accès à un ordinateur
9. Restriction de l'accès physique aux données des titulaires de cartes de paiement
Surveillance et vérification régulières des réseaux 10. Suivi et contrôle de l'accès aux ressources du réseau et aux données des titulaires de cartes de paiement
11. Examen régulier des systèmes et processus de sécurité
Soutien à la politique de sécurité de l'information 12. Soutien aux politiques visant à assurer la sécurité des données
Vous pouvez lire les normes PCI DSS les plus récentes et les plus complètes sur le site officiel du Conseil des normes de sécurité au lien : https://en.pcisecuritystandards.org

Niveaux de certification PCI DSS

La certification PCI DSS définit quatre niveaux d'entreprises de commerce et de services Et deux niveaux de prestataires de services en fonction du nombre de transactions avec les cartes de paiement Visa (y compris les cartes de crédit, de débit et prépayées) dans les 12 mois.

Visa définit les niveaux de marchands suivants :

Niveau Description La certification PCI DSS comprend :
4 Marchands qui traitent moins de 20 000 transactions de commerce électronique par an, et Tous les autres marchands non répertoriés dans les autres niveaux qui traitent jusqu'à 1 million de transactions par an, quel que soit le canal de réception. Annuellement : Il est recommandé de remplir le questionnaire d'auto-évaluation de la sécurité (SAQ) ; Trimestrielle : analyse ASV recommandée ; La banque acquéreuse détermine les exigences de conformité.
3 Marchands traitant entre 20 000 et 1 million de transactions de commerce électronique par an.
2 Les commerçants traitent 1 à 6 millions de transactions par an, quel que soit le canal de réception. Annuellement : Remplir le questionnaire d'auto-évaluation de la sécurité (SAQ) ; Trimestrielle : analyse ASV recommandée.
1 Des marchands qui traitent plus de 6 millions de transactions par an, quel que soit le canal de réception. Annuellement : un audit par un auditeur de sécurité agréé (QSA) ; Trimestrielle : analyse de vulnérabilité ASV.

Les solutions de paiement mobile ne sont pas encore largement représentées sur le marché mondial et dans notre pays en particulier. Cependant, l'intérêt pour ces solutions de la part des développeurs fintech, des entreprises et des entreprises commerciales et de services augmente chaque année.

Andreï Gaïko
Auditeur de sécurité numérique certifié QSA

Qu'est-ce que mPOS

La solution de paiement mobile (mPOS) se compose des composants principaux suivants :

  • appareil mobile - un smartphone ou une tablette auquel le lecteur est connecté ;
  • application de paiement pour un appareil mobile - logiciel via l'interface duquel le vendeur saisit des données pour le paiement et échange des données avec traitement. De plus, grâce à ce logiciel, il est possible de vérifier le titulaire de la carte à l'aide d'une signature ;
  • lecteur - on distingue deux types de lecteurs : Pin Entry Device (PED), un lecteur de carte et un dispositif d'entrée de code PIN. Se connecte à un appareil mobile via Bluetooth, prise audio ou mini-USB ; Secure Card Reader (SCR), un lecteur de carte. Généralement connecté à un appareil mobile via une prise audio.

Par solution de paiement mobile, nous entendons une plateforme logicielle et matérielle pour commerçants (ci-après dénommés commerçants), qui permet d'accepter des paiements de particuliers utilisant un smartphone/tablette et un lecteur connecté à celui-ci. Grâce à mPOS, il est possible d'accepter des paiements à la fois sans contact (avec une carte bancaire chargée dans le téléphone portable du client avec support NFC (ci-après dénommée la carte NFC), ou une carte bancaire sans contact), et avec des cartes en plastique ordinaires (avec une piste magnétique et/ou une puce EMV).

En plus des fonctions de lecture sécurisée de la carte et de saisie du code PIN, mPOS devrait prendre en charge toutes les principales méthodes de vérification du titulaire de la carte, le cryptage des données lors de la transmission entre les composants et la partie traitement du système, ainsi que la possibilité d'imprimer des chèques ou de les envoyer. par SMS et e-mail.

Du côté du fournisseur de services ou de la banque acquéreuse, qui sont engagés dans la réception et le traitement ultérieur des données pour les paiements mPOS, un système back-end (passerelle de paiement) est utilisé, similaire à ceux utilisés dans l'acquisition Internet ou POS régulière.

Afin de comprendre quelles doivent être les exigences de sécurité, au niveau technique, il est nécessaire de déterminer les principaux composants de l'écosystème mPOS et les flux d'informations existants. Pour comprendre la responsabilité des entités de l'écosystème mPOS pour la sécurité des paiements au niveau de l'entreprise, il est nécessaire de déterminer les modèles commerciaux existants des participants au processus de paiement.

Le schéma des flux d'informations contient 8 étapes principales (voir Fig. 1):

  • étape 1. L'employé du commerçant connecte le lecteur à un appareil mobile (smartphone ou tablette) disposant d'une connexion Internet. Lance une application mobile spéciale et y saisit des informations sur l'achat et le montant du paiement ;
  • étape 2. Le client insère, roule ou apporte une carte bancaire au lecteur. Dans le cas d'une carte NFC, le client ouvre l'application Wallet sur son smartphone, sélectionne une carte bancaire valide et rapproche le smartphone du lecteur. Selon les paramètres de la carte, il vous sera demandé d'entrer un code PIN. Dans ce cas, le client saisit le code PIN à l'aide du PIN-pad, éventuellement intégré au lecteur ;
  • étape 3. Le lecteur lit les données de la carte, les crypte et les transfère sur l'appareil mobile de l'employé du commerçant ;
  • étape 4. L'appareil mobile de l'employé envoie des données cryptées à la passerelle de paiement et les données sont transférées de la passerelle de paiement au système acquéreur. En plus des données de la carte, en fonction des paramètres, des informations sur mPOS, la transaction, le produit ou le service acheté peuvent également être transmises ;
  • étape 5. La demande d'autorisation du système acquéreur est transmise au MPS. Après traitement de la demande, le résultat (accepté ou rejeté) est renvoyé au système acquéreur. Si la carte sur laquelle le paiement est effectué est émise par la même banque par l'intermédiaire de laquelle l'acquisition est effectuée, la demande n'est pas transmise à l'IPS ;
  • étape 6. Le résultat de la demande d'autorisation est transmis au dispositif mobile ;
  • étape 7. Si la carte nécessite la signature de son titulaire, alors le formulaire correspondant s'affiche dans l'application mobile, et le client signe (avec un stylet ou un doigt) ;
  • étape 8. L'employé du commerçant dans l'application de paiement mobile sélectionne la méthode d'envoi d'un chèque au client. L'envoi par SMS, e-mail ou impression vers une caisse enregistreuse locale est possible.

Les entreprises suivantes peuvent être impliquées dans la mise en œuvre du processus décrit ci-dessus :

  • Développeurs d'appareils mPOS - développent et produisent du matériel qui lit en toute sécurité les données de la carte et le code PIN ;
  • développeurs de logiciels de paiement pour appareil mobile et/ou passerelle de paiement - développer un logiciel client pour un commerçant et, éventuellement, un logiciel pour une passerelle de paiement ;
  • développeurs de plates-formes - sociétés de développement qui créent une seule partie matérielle et logicielle d'une solution mPOS pour sa revente à des fournisseurs de services ou à des acquéreurs de solutions mPOS ;
  • Fournisseurs de services de solution mPOS - entreprises qui produisent le produit final pour les commerçants. Les entreprises de ce type acquièrent des banques ou des intermédiaires dits de paiement (facilitateurs de paiement). Ces entreprises peuvent soit développer indépendamment tous les composants de la solution de paiement mobile, soit concéder sous licence des composants individuels de différents fabricants et les intégrer les uns aux autres. Les intermédiaires de paiement, à l'exception des banques acquéreuses, sont un croisement entre un prestataire de services et un commerçant. Leurs clients sont des commerçants, pour qui l'interaction avec la banque acquéreuse devient un processus transparent, puisque l'intermédiaire de paiement est responsable des règlements avec le commerçant ;
  • distributeurs - sociétés qui font la promotion de certaines solutions mPOS de différents fabricants sur le marché et remplissent la fonction de revente de la solution mPOS du commerçant ;
  • fournisseur de services de paiement (société de traitement, passerelle de paiement) - une société qui est un intermédiaire entre le fournisseur de services de solutions mPOS et la banque acquéreuse. Il fournit une interaction d'informations entre l'appareil mobile du commerçant et l'acquéreur ;
  • acquéreur – une banque acquéreuse ou un centre de traitement connecté à l'IPS, qui fournit l'autorisation de paiement. Les banques acquéreuses avec lesquelles les fournisseurs de services de solutions mPOS coopèrent peuvent être utilisées pour les règlements avec les commerçants.

Il convient de noter que l'entreprise peut remplir non seulement l'un des rôles spécifiés. Il est possible qu'une entreprise puisse développer entièrement tous les composants logiciels et matériels d'une solution mPOS. Selon les fonctions qui seront exercées par l'entreprise, cela dépend des exigences de sécurité auxquelles elle doit se conformer.

Les listes des principaux composants et types de modèles commerciaux sont fournies afin de comprendre comment la responsabilité du respect des exigences de sécurité doit être délimitée entre tous les participants de l'écosystème mPOS.

Types de certificats

Les premières directives de sécurité des paiements mobiles ont été publiées par Visa en 2011. Elles fournissaient des recommandations générales aux développeurs et aux commerçants concernant la sécurité de l'utilisation des solutions de paiement mobile. En 2012, le PCI SSC a publié des directives plus détaillées pour les développeurs. Aujourd'hui, l'UIP et le PCI SSC publient des avis de sécurité mPOS mis à jour presque chaque année.

En plus des recommandations, Visa et MasterCard ont développé des programmes de certification pour les fournisseurs de solutions de paiement mobile. En fait, les deux programmes sont assez similaires, et avec une forte probabilité, on peut affirmer que le développement d'une solution selon les exigences de l'un des AME peut être certifié par l'autre. Les deux MPS maintiennent des registres des entreprises certifiées et des solutions mPOS.

Normes PCI SSC

PCI DSS
Dans la nouvelle version de la norme, de nouvelles exigences sont apparues, qui sont les bienvenues en matière de sécurité mPOS. En particulier, la clause 9.9 a été ajoutée à la section 9, selon laquelle il est nécessaire de conserver un registre des lecteurs de cartes, ainsi que de mener une formation périodique des employés / utilisateurs qui entretiennent les appareils afin de pouvoir détecter l'usurpation d'identité mPOS ou d'autres signes. d'écrémage. Dans le cas des fournisseurs de services de solutions mPOS ou des sociétés acquéreuses, lors de la fourniture de lecteurs aux lecteurs, ils devront élaborer des recommandations et des instructions pour se protéger contre le skimming et les porter à l'attention des employés des commerçants. Dans le cadre de l'exigence 12.8, les prestataires de services et les acquéreurs au niveau contractuel peuvent exiger des commerçants qu'ils se conforment aux exigences de sécurité mPOS pertinentes.

Malgré le fait que la mise en œuvre de la plupart des exigences de sécurité incombe à divers prestataires de services et banques, les banques acquéreuses ont le droit d'exiger du Marchand qu'il remplisse des fiches d'auto-évaluation (SAQ) du type approprié (SAQ P2PE-HW dans le cas de un Commerçant utilisant une solution P2PE, SAQ B-IP lors de l'utilisation de mPOS avec un lecteur certifié PCI PTS). Le tableau répertorie les composants des solutions mPOS, la norme pertinente à laquelle le composant doit se conformer et l'entreprise responsable de la mise en œuvre des exigences.

L'exigence 12.8 est également pertinente lorsque le logiciel de solution mPOS pour le fournisseur de services est développé par un tiers. Dans ce cas, le respect de l'exigence 6.5 incombe entièrement à la société de développement. Dans le même temps, si la société de développement ne respecte pas les exigences, le fournisseur de services ne pourra pas passer un audit de conformité à la norme PCI DSS. Les contrats entre les prestataires de services (acquéreurs) et les développeurs doivent prévoir la question de l'audit de certains processus commerciaux de la société de développement dans le cas où le prestataire de services passe la certification annuelle PCI DSS ; le processus de développement sera inclus dans le périmètre de l'audit du prestataire. Il en va de même en cas d'externalisation d'autres services. En général, la confirmation par un tiers de la conformité aux exigences PCI DSS dans la partie qui s'y rapporte peut être fournie par l'auto-certification des processus commerciaux nécessaires conformément à la norme PCI DSS, suivie de la fourniture de certificats de vérification réussie, ou en fournissant la possibilité d'auditer le processus métier dans le cadre d'un audit de service.prestataire (acquéreur).

A noter que dans notre pays, l'audit des développeurs dans le cadre de l'audit de l'entreprise cliente est assez rare. Les développeurs peuvent garantir verbalement la connaissance et l'application des méthodes de développement sécurisées, mais en fait ils n'ont pas les connaissances nécessaires et ne suivent pas les procédures appropriées. Avec la sortie de la nouvelle version de PCI DSS, les choses devraient changer, car les exigences sont devenues détaillées et les procédures de vérification spécifiées dans le texte de la norme obligent l'auditeur QSA à effectuer des contrôles plus approfondis.

PTS PCI
La norme PCI PTS réglemente les exigences de sécurité pour les dispositifs de point d'interaction (POI) et les modules de sécurité matériels (HSM). Le lecteur connecté à l'appareil mobile est le POI. Comme mentionné ci-dessus, les solutions mPOS utilisent deux classes de points d'intérêt : le dispositif d'entrée de code PIN (PED) et le lecteur de carte sécurisé (SCR). En fonction du type de POI auquel appartient le lecteur, les groupes d'exigences PCI PTS auxquels l'appareil doit se conformer sont déterminés.


Actuellement, certaines solutions mPOS proposées sur le marché national utilisent des lecteurs de fabricants anonymes. L'utilisation de tels lecteurs ne garantit pas un transfert sécurisé des données entre les appareils et permet de transférer le numéro de carte sur l'appareil mobile en texte clair. Par conséquent, lors du choix d'une solution mPOS, vous devez vous assurer que le fournisseur de services propose un lecteur certifié PCI PTS.

Il existe deux modèles commerciaux de développement de logiciels clients : le développement pour son propre projet, lorsque le développeur crée une solution mPOS et la commercialise sous sa propre marque : dans ce cas, le développeur sera le fournisseur de services de la solution mPOS ; - et le développement d'une solution finale pour l'octroi de licences supplémentaires par des entreprises qui intègrent des composants de différents fabricants les uns aux autres et créent leurs propres solutions mPOS basées sur ceux-ci.

PA-DSS
Pour les solutions mPOS, PA-DSS est obligatoirement applicable au micrologiciel des appareils qui lisent les données de la carte. Pour les logiciels installés sur un appareil mobile d'un employé du commerçant, cette norme est une recommandation. En effet, l'appareil mobile est un environnement peu fiable et mal contrôlé. Par exemple, un appareil peut être jailbreaké, ce qui réduit la sécurité de l'appareil d'un ordre de grandeur et ne garantit pas la sécurité de l'application de paiement installée. C'est pourquoi le ministère des Chemins de fer interdit l'utilisation d'appareils mobiles pour saisir un code PIN et exige que les données du lecteur parviennent au logiciel mobile sous forme cryptée, puis soient transmises à l'acquéreur sous la même forme. Dans ce cas, les données de carte de paiement ne seront pas traitées et stockées sous une forme ouverte dans un appareil mobile, ce qui signifie que les exigences PA-DSS ne s'appliquent pas.

La version 3.0 de la norme a introduit de nouvelles exigences auxquelles les développeurs de micrologiciels pour les lecteurs et les applications de paiement en boîte doivent tout d'abord prêter attention. Tout d'abord, chaque mise à jour publiée doit faire l'objet d'une certification distincte. Deuxièmement, les clients doivent désormais utiliser uniquement les versions (mises à jour) des logiciels qui sont certifiées et répertoriées sur le site Web du PCI Council.


PCI P2PE
Relativement récemment, une nouvelle norme de sécurité PCI P2PE a été publiée. La norme est destinée aux solutions assurant une protection cryptographique des données lors de leur transfert entre tous les composants de la solution de paiement. Dans le cas du cryptage, la portée de la norme chez le commerçant est réduite à un niveau minimum, puisque le commerçant n'a pas la possibilité d'obtenir des données sur les titulaires de cartes en clair.

La liste de tous les principaux composants de l'écosystème mPOS comprend :

  • appareil de lecture;
  • application de paiement pour appareil mobile;
  • passerelle de paiement ;
  • système d'acquisition connecté au MPS.

Contrairement au PCI DSS qui ne s'applique qu'aux infrastructures d'information, le PCI P2PE est plus complet et s'applique non seulement aux infrastructures, mais aussi aux lecteurs et logiciels des bornes POI (en annexe à mPOS, ce sont des lecteurs). La norme se compose de 6 domaines, dont les exigences sont basées sur les normes PCI actuelles : les lecteurs doivent se conformer aux exigences PCI PTS SRED ; logiciel de lecteur - PA-DSS; gestion des clés de cryptage - exigences de sécurité du code PIN PCI ; infrastructure d'informations de paiement du commerçant - PCI DSS. Si la solution est certifiée PCI P2PE, cela signifie que les données entre tous les sous-systèmes (du lecteur à l'appareil mobile dans le logiciel, du logiciel au traitement et au-delà) sont transmises sous forme cryptée, et tous les sous-systèmes sont conformes aux exigences de les normes PCI pertinentes.

Selon les exigences P2PE, les composants individuels et les solutions prêtes à l'emploi peuvent être certifiés.

Le MPS recommande d'utiliser des solutions P2PE pour accepter les paiements mPOS. Cependant, la difficulté réside dans le fait qu'il existe actuellement peu de solutions de ce type sur le marché. Par conséquent, MPS n'exige pas, mais recommande d'utiliser des solutions PCI P2PE et d'être guidé par elles lors du développement. Cependant, les fournisseurs de services de solutions de paiement mPOS doivent être préparés au fait que MPS exigera bientôt la certification PCI P2PE obligatoire de leurs solutions mPOS.

À propos de la norme

PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité des données de l'industrie des cartes de paiement développée par le Payment Card Industry Security Standards Council (PCI SSC), qui a été établi par Visa, MasterCard, American Express, JCB et Discover.

Les exigences de la norme s'appliquent à toutes les entreprises travaillant avec des systèmes de paiement internationaux : banques, entreprises commerciales et de services, fournisseurs de services technologiques et autres organisations dont les activités sont liées au traitement, à la transmission et au stockage de données sur les titulaires de cartes de paiement.

PCI DSS - Guide de sécurité complet

La norme PCI DSS met en avant des exigences pour la sécurité des composants d'infrastructure dans lesquels des informations sur les cartes de paiement sont transmises, traitées ou stockées. La vérification de la conformité de l'infrastructure de paiement à ces exigences révèle les raisons qui réduisent considérablement le niveau de sa sécurité. Les tests d'intrusion, qui sont inclus dans la liste des mesures obligatoires réglementées par la norme PCI DSS, montrent le niveau réel de sécurité des ressources d'information de l'entreprise à la fois depuis la position d'un attaquant qui se trouve en dehors du périmètre d'investigation, et depuis la position de un employé de l'entreprise qui a accès "de l'intérieur".

Le conseil PCI DSS a formulé des exigences clés en matière de protection des données dans la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Exigences et procédures d'évaluation de la sécurité. Édition 3.0". Ces exigences sont regroupées de manière à simplifier la procédure d'audit de sécurité.

Téléchargez PCI DSS en russe.

Exigences et procédures d'évaluation de la sécurité PCI DSS

Construire et maintenir des réseaux et des systèmes sécurisés

  • Exigence 1 : "Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de carte."
  • Exigence 2. "N'utilisez pas de mots de passe pour les systèmes et autres paramètres de sécurité définis par défaut par le fabricant."

Protégez les données des titulaires de carte

  • Exigence 3 : « Protégez les données de titulaire de carte stockées ».
  • Exigence 4 : chiffrer les données des titulaires de carte en transit sur les réseaux publics.

Maintenir un programme de gestion des vulnérabilités

  • Exigence 5 : « Protégez tous les systèmes contre les logiciels malveillants et mettez régulièrement à jour le logiciel antivirus. »
  • Exigence 6 : « Développer et maintenir des systèmes et des applications sécurisés. »

Mettre en place de solides mesures de contrôle d'accès

  • Exigence 7 : « Restreindre l'accès aux données des titulaires de carte en cas de besoin ».
  • Exigence 8 : « Identifier et authentifier l'accès aux composants du système ».
  • Exigence 9 : Restreindre l'accès physique aux données des titulaires de carte.

Effectuer une surveillance et des tests réguliers des réseaux

  • Exigence 10 : "Suivez et surveillez tous les accès aux ressources réseau et aux données des titulaires de carte."
  • Exigence 11 : « Tester régulièrement les systèmes et processus de sécurité »

Maintenir la politique de sécurité de l'information

  • Exigence 12 : « Maintenir une politique de sécurité des informations pour tous les employés. »

La surveillance prospective aide les banques, les commerçants et les développeurs de services financiers à se préparer à un audit de conformité PCI DSS et fournit une assistance experte pour répondre aux exigences de la norme.

№ 4 (180) ’2012

Les années de mise en œuvre de la norme PCI DSS en Russie ont déjà porté leurs fruits sous la forme d'infrastructures certifiées d'entreprises participant au processus de paiement. Cependant, comme tout autre domaine, au cours des dernières années, le sujet PCI DSS a acquis un grand nombre de questions non triviales. Je voudrais présenter à votre attention le premier article de la série consacrée à la vue d'ensemble de l'industrie des cartes de paiement et du système de certification PCI DSS. Pour les professionnels du secteur, certains points sembleront évidents, mais mon objectif est d'offrir au lecteur une description cohérente.

Industrie des cartes de paiement

Pour ramener à un dénominateur commun la terminologie et les concepts de base qui seront abordés dans une série d'articles sur la gestion de la conformité PCI DSS, je propose un bref aperçu de l'industrie des paiements. Une grande partie des informations contenues dans cette revue est sans aucun doute évidente pour de nombreux lecteurs. On sait que les systèmes de paiement internationaux Visa et MasterCard sont des communautés de banques émettrices qui émettent des cartes de paiement et de banques acquéreuses qui acceptent les transactions de paiement utilisant ces cartes. Les banques ont différents niveaux de participation aux systèmes de paiement et sont divisées en mandants et membres affiliés. Les transactions de paiement des magasins et autres points de vente peuvent être transmises directement aux banques acquéreuses ou via des passerelles de paiement. Tous les acteurs de l'industrie des cartes de paiement du point de vue des systèmes de paiement internationaux sont divisés en deux catégories - les entreprises de commerce et de services, ce sont aussi des commerçants (du marchand anglais - marchand) et des prestataires de services. Les commerçants sont toutes les entreprises qui acceptent les cartes de paiement comme moyen de paiement pour leurs biens ou services. Des exemples de telles entreprises sont les magasins de détail et en ligne, les restaurants, les coiffeurs, les stations-service, etc. Les fournisseurs de services sont des entreprises qui fournissent un service, le plus souvent dans le domaine des technologies de l'information, qui facilite les transactions de paiement. Il s'agit des banques, des passerelles de paiement, des centres de données, des fournisseurs de services d'émission de cartes et d'autres organisations au service du processus de paiement. La structure de l'industrie est clairement illustrée à la figure 1.

Il convient de rappeler que les systèmes de paiement internationaux placent l'entière responsabilité de la sécurité des données dans le secteur des cartes de paiement sur les banques acquéreuses. Ils sont responsables de la sécurité des données de carte qui leur parviennent des organisations en aval - commerçants et prestataires de services. Autrement dit, pour la fuite de la liste des numéros de carte dans l'infrastructure d'information du magasin, la banque acquéreuse sera responsable envers les systèmes de paiement internationaux. Il existe des mécanismes de transfert de responsabilité dans l'industrie des cartes de paiement, tels que l'utilisation de la technologie 3-D Secure, mais il convient ici de faire la distinction entre la responsabilité pour les transactions frauduleuses et la responsabilité pour les fuites de données de carte.

Riz. 1. Commerçants et prestataires de services

Normes PCI DSS et PCI PA-DSS

Après avoir uni leurs efforts dans la lutte contre les violations de la sécurité des transactions de paiement, les systèmes de paiement internationaux ont créé en 2006 un organisme de réglementation international commun dans le domaine de la sécurité des cartes de paiement - le Conseil PCI SSC. Cet organisme a pour mission de développer les normes PCI DSS, PCI PA-DSS et PCI PTS, ainsi que la formation, la certification et le contrôle qualité du travail des auditeurs de sécurité - auditeurs QSA.

Au fil des années d'existence des normes, il y a eu une discussion sur la question de savoir si la normalisation des règles de sécurité de l'information basée sur le principe d'une carte de contrôle, c'est-à-dire une liste de mesures spécifiques, est la meilleure façon de protéger les données de la carte, ou est-ce une formalité inutile. Après tout, il existe une approche basée sur les risques qui a fait ses preuves, dans laquelle il n'y a pas de liste préétablie de mesures, mais il existe une règle pour évaluer régulièrement les menaces actuelles et identifier les vulnérabilités du système protégé. La solution à ce dilemme est que la standardisation de la liste des mesures spécifiques à l'instar de la PCI DSS est utile au niveau de maturité du système de sécurité de l'information, lorsque le système de gestion basé sur les risques n'a pas encore réalisé un nombre suffisant d'itérations du cycle "analyse des risques - mise en place de contre-mesures - évaluation - ajustement" pour constituer une défense efficace. Un exemple est la façon dont une mère apprend à son bébé à ne pas toucher la surface chaude du fer. Alors que le fer n'est pas encore suffisamment étudié par l'enfant, ou que l'expérience douloureuse du toucher n'est pas reçue, la seule façon d'essayer d'éviter une brûlure ne peut être que les mots d'une mère adulte, disant : « ne touchez pas le fer, Ca va faire mal!".

PCI DSS s'applique aux organisations qui traitent, stockent et transmettent des données de titulaire de carte. Pour l'avenir, il est nécessaire de préciser que les boutiques en ligne qui ne traitent pas les numéros de carte sur leur site, mais redirigent le client vers le site d'une passerelle de paiement externalisée pour effectuer un paiement, relèvent également de la certification PCI DSS. Cependant, du point de vue de la méthode de confirmation de conformité, le questionnaire le plus simple (SAQ) de type « A » leur est applicable, ne contenant que treize procédures de vérification sur deux cent quatre-vingt-huit disponibles dans la version 2.0 de PCI DSS. standard.

L'objet d'application de la norme associée PA-DSS, contrairement à PCI DSS, est une application de paiement spécifique développée pour être vendue à un cercle illimité d'utilisateurs finaux - participants à l'industrie des cartes de paiement. Des exemples de telles applications sont les modules logiciels des terminaux de point de vente, les applications d'autorisation, ainsi que d'autres solutions en boîte pour le traitement des transactions par carte. Depuis juillet 2012, selon les exigences des systèmes de paiement internationaux Visa et MasterCard, les commerçants sont tenus d'utiliser uniquement des applications de paiement certifiées selon la norme PA-DSS. Le contrôle du respect de cette exigence est confié aux banques acquéreuses. Il existe une liste de treize questions qui vous permet de dire plus précisément si la candidature relève ou non du programme de certification PA-DSS. Ce document est disponible sur le site officiel du PCI SSC Council.

Mise en œuvre de la norme PCI DSS

Un projet de mise en œuvre classique de PCI DSS dans une organisation comprend généralement les étapes suivantes :

  • Analyse de conformité de base
  • Amener au niveau de conformité requis
  • Attestation de conformité
  • Assistance à la conformité

Chacune de ces étapes peut être effectuée à la fois par l'organisation elle-même et par un consultant impliqué. La seule action qui ne peut pas être effectuée indépendamment est un audit de certification externe, s'il est requis par l'organisation.
L'option la meilleure et la plus couramment utilisée dans la pratique est lorsqu'une partie du travail est effectuée par l'organisation elle-même et qu'une partie est sous-traitée à un consultant externe.

Le schéma d'un tel projet est illustré à la figure 2. Les travaux sur l'évaluation initiale de la conformité et l'élaboration de recommandations pour répondre aux exigences de la norme sont effectués par un consultant impliqué, et la mise en œuvre directe des changements dans les systèmes d'information est effectuée par les administrateurs système de l'organisation cliente. Parallèlement, le consultant apporte son soutien et prépare la documentation d'accompagnement nécessaire à la certification. Viennent ensuite les contrôles de sécurité finaux de l'infrastructure d'information et la procédure de confirmation de la conformité à la norme.

Riz. 2. Projet type pour la mise en œuvre de PCI DSS

Séparément, il convient de mentionner les options de confirmation de la conformité à la norme PCI DSS. Pour les participants de l'industrie des cartes de paiement, il existe trois façons de confirmer la conformité : il s'agit d'un audit externe, d'un audit interne et du remplissage d'une feuille d'auto-évaluation. Un audit externe est réalisé par un employé d'un organisme d'audit externe (Qualified Security Assessor, QSA), certifié par le PCI SSC. Un audit interne est réalisé par un auditeur formé et certifié PCI SSC (Internal Security Assessor, ISA). La troisième option de confirmation est effectuée de manière autonome par les employés de l'organisation en remplissant un questionnaire d'auto-évaluation (Self-Assessment Questionnaire, SAQ). Les règles régissant exactement la manière dont la conformité à la norme est confirmée sont déterminées par les systèmes de paiement internationaux individuellement pour différents types de commerçants et de prestataires de services, mais peuvent être outrepassées par les banques acquéreuses. La version actuelle des règles sous une forme générale est toujours disponible sur les sites Web officiels des systèmes de paiement internationaux.

Il est à noter que le formulaire de la fiche d'auto-évaluation SAQ peut être de plusieurs types (A, B, C, C-VT, D), et le choix du type de fiche dépend des spécificités du traitement des données de la carte en l'organisation. Le schéma d'applicabilité des différentes options pour confirmer la conformité est indiqué dans le tableau.

Dans le prochain article du cycle de gestion de la conformité PCI DSS, je parlerai de la détermination de la portée de la norme PCI DSS dans l'infrastructure d'information d'une organisation, des méthodes pour la réduire afin de réduire les coûts de mise en œuvre de la norme, et répondrai également à la question si le processus d'émission des cartes de paiement fait l'objet d'un audit de certification.

Tableau. Options de conformité PCI DSS

Option Applicabilité Nombre de procédures de vérification
SAQ A Marchands effectuant des transactions sans carte qui ont délégué toutes les fonctions de traitement électronique, de stockage et de transfert des données de carte à un fournisseur de services qui a confirmé la conformité à la norme PCI DSS. 13
SAQ-B Les commerçants qui utilisent des terminaux de point de vente, utilisent une ligne téléphonique, ne transmettent pas de données de carte via Internet et n'ont pas de stockage électronique des données de carte. 29
SAQ-C Commerçants utilisant des terminaux de point de vente ou des applications de paiement qui transfèrent des données de carte via Internet et ne disposant pas d'un stockage électronique des données de carte. 40
SAQ C-VT Marchands utilisant des terminaux Web virtuels via Internet d'un fournisseur de services ayant confirmé la conformité à la norme PCI DSS et ne disposant pas de stockage de données de cartes électroniques. 51
SAQD Tous les commerçants et tous les prestataires de services, à l'exception de ceux qui, selon les exigences de l'UPI ou de l'acquéreur, ont besoin d'un audit ISA ou QSA. 288
Audit ISA Tous les commerçants, sauf ceux qui, selon les exigences du MPS ou de l'acquéreur, ont besoin d'un audit QSA. 288
Audit QSA Tous les commerçants et tous les prestataires de services. 288

Dans plusieurs publications antérieures, nous avons déjà examiné certaines normes internationales dans le domaine de la sécurité de l'information. Cependant, ils étaient majoritairement dans la maison , c'est à dire. l'infrastructure interne de l'entreprise. La compréhension la plus claire de la sécurité de l'information survient lorsque la sécurité est directement liée aux finances, lorsqu'elle montre son impact significatif sur les entreprises en nombre. Par conséquent, nous parlerons aujourd'hui de la sécurité dans les institutions financières telles que les banques, les établissements de crédit, les agents de paiement, etc. Tous sont impliqués dans des transferts d'argent, ce qui signifie qu'ils relèvent de la norme de l'industrie.PCI DSS(Norme de sécurité des données de l'industrie des cartes de paiement)


Standard PCI DSS est conçu pour assurer la sécurité du traitement, du stockage et de la transmission des données sur les titulaires de cartes de paiement dans les systèmes d'information des entreprises travaillant avec des systèmes de paiement internationaux Visa , carte maîtresse et d'autres. La norme est développée par la communauté Conseil des normes de sécurité PCI, qui regroupe les leaders mondiaux du marché des cartes de paiement, tels que American Express, Découvrez les services financiers, JCB, MasterCard dans le monde Et Visa International. Exigences standard PCI DSS diffuser pour toutes les entreprises qui traitent, stockent ou transmettent des données sur les titulaires de cartes de paiement (banques, centres de traitement, prestataires de services, systèmes de commerce électronique, etc.). En Russie, le respect de la norme PCI DSS devenu obligatoire pour une utilisation dans les organisations concernées depuis 2007.

Selon les résultats de l'étude Analysys Mason, environ 42 % des fournisseurs de services cloud respectent les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard). Ils opèrent dans le monde entier et s'appliquent à toutes les organisations qui traitent les cartes de crédit, et stockent ou transmettent également des informations sur leurs titulaires. Cette norme a été introduite pour donner à l'industrie des cartes de paiement plus de contrôle sur les données sensibles et empêcher qu'elles ne soient divulguées. Elle vise également à assurer la protection des consommateurs contre la fraude ou l'usurpation d'identité lorsqu'ils utilisent des cartes de crédit.

Dans les classifications Visa et MasterCard, les systèmes qui traitent, stockent ou transmettent plus de 6 millions de transactions par an sont classés comme premier niveau (niveau 1) et sont requis annuellement être audité .

HISTORIQUE DU DÉVELOPPEMENT DE LA NORME

1.0 est la version originale de la norme.

1.1 - adopté en septembre 2006.

1.2 - adopté en octobre 2008.

2.0 - adopté en octobre 2010.

3.0 - adopté en novembre 2013.

3.1 - adopté en avril 2015.

PCI DSS Version 3.0

"La nouvelle version de PCI-DSS 3.0 fera de la norme une partie intégrante des opérations commerciales normales", a déclaré Bob Russo, PDG du Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC), à eWeek. — Nous voulons essayer de dissuader les gens de croire que PCI-DSS peut être traité une fois par an, puis de ne plus y penser. Dans une situation réelle, des lacunes se produisent souvent.

PCI-DSS était souvent considéré comme rien de plus qu'une base pour vérifier la conformité d'une entreprise, où vous pouvez cocher que tout est en ordre pour le moment et passer calmement à d'autres questions. Bob Russo a souligné que dans la nouvelle norme PCI-DSS 3.0 l'accent est mis sur l'éducation et la politique, faisant de la sécurité des paiements une tâche quotidienne et un élément d'un ordre constamment maintenu. En fin de compte, la norme contribuera à aboutir à un contrôle orienté processus plus cohérent, ce qui est particulièrement important pour les grandes organisations. Et cela renforce également l'accent mis sur la responsabilité continue, et pas seulement sur les audits PCI-DSS occasionnels.

L'une des critiques de la norme PCI-DSS est le manque de clarté de ses dispositions. Par exemple, une norme peut exiger qu'une organisation déploie un pare-feu d'application Web (WAF) sans détailler la configuration de pare-feu requise ni même expliquer pourquoi il est nécessaire. Ces critiques ont été exprimées sous une forme claire et nette par les membres du PCI SCC, ce qui a nécessité le développement d'une nouvelle norme améliorée.

Dans les versions précédentes de la norme, il y avait toujours deux colonnes expliquant une exigence de contrôle de sécurité particulière. La première colonne énonçait l'exigence et la seconde donnait des détails sur la procédure d'essai. PCI-DSS 3.0 devrait avoir une troisième colonne, qui, selon Leach, contiendra des exemples concrets des risques que ce contrôle de sécurité est conçu pour atténuer.

Ainsi, dans le cas du WAF, la nouvelle norme expliquera ce que cette technologie peut faire et quels types de risques elle peut aider à atténuer.

L'un des changements importants de la norme PCI-DSS 3.0 est lié à l'utilisation des mots de passe. Au cours des trois dernières années, le PCI SCC a mené une série d'études sur la force des mots de passe qui ont aidé à formuler de nouvelles exigences.

L'une des exigences PCI-DSS 3.0 que les détaillants devront respecter est la détection rapide des codes malveillants. Le règlement 5.1.2 a été ajouté pour garantir que toute personne traitant des données de carte de paiement dispose d'un processus de gestion des risques solide dans ce domaine.

PCI-DSS 3.0 a toujours souligné le besoin de flexibilité dans la gestion de la sécurité, qui doit être obtenue de diverses manières constamment améliorées.

PCI DSS Version 2.0

Le 28 octobre 2010 a vu la sortie d'une nouvelle version de la norme PCI DSS , à savoir la version 2.0. Il est difficile d'appeler radicaux les changements introduits dans le document réglementant l'industrie, ils sont principalement de la nature des clarifications et des clarifications. De plus, certaines procédures de vérification ont été regroupées de manière nouvelle afin de simplifier leur perception et leur mise en œuvre lors de l'audit.

Bien que la norme version 2.0 soit entrée en vigueur le 1er janvier 2011, les acteurs de l'industrie des cartes de paiement peuvent utiliser la version précédente jusqu'à fin 2011. Cette initiative du PCI SSC Council permet une migration progressive vers la nouvelle version. La prochaine version sera préparée par le PCI SSC sur un cycle de vie de trois ans.

Exigences PCI DSS

La norme PCI DSS définit les six domaines de contrôle suivants et les 12 exigences de sécurité de base.


Construire et maintenir un réseau sécurisé

  • Exigence 1 : installer et maintenir des pare-feu pour protéger les données des titulaires de carte.
  • Exigence 2 : Non-utilisation des mots de passe système par défaut du fabricant et d'autres paramètres de sécurité.

Protéger les données des titulaires de carte

  • Exigence 3 : S'assurer que les données du titulaire de carte sont protégées pendant le stockage.
  • Exigence 4 : Cryptage des données de titulaire de carte en transit sur les réseaux publics.

Soutien au programme de gestion des vulnérabilités

  • Exigence 5 : Utilisez et mettez régulièrement à jour un logiciel antivirus.
  • Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés.
  • Mise en place de mesures strictes de contrôle d'accès
  • Exigence 7 : Restreindre l'accès aux données des titulaires de carte en cas de besoin.
  • Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à l'infrastructure d'information.
  • Exigence 9 : Restreindre l'accès physique aux données des titulaires de carte.

Surveillance et test réguliers du réseau

  • Exigence 10 : contrôler et suivre tous les accès aux ressources réseau et aux données de titulaire de carte.
  • Exigence 11 : Tests réguliers des systèmes et processus de sécurité.

Soutien à la politique de sécurité de l'information

  • Exigence 12 : Élaborer, maintenir et appliquer une politique de sécurité de l'information.

Malgré l'ouverture des normes, de nombreuses questions s'accumulent. Nous tenterons de répondre à certaines d'entre elles ci-dessous.

1. Qui est couvert par PCI DSS ?

Tout d'abord, la norme définit les exigences pour les organisations dont l'infrastructure d'information stocke, traite ou transmet les données des cartes de paiement, ainsi que pour les organisations qui peuvent affecter la sécurité de ces données. L'objectif de la norme est assez évident - assurer la sécurité de la circulation des cartes de paiement. À partir de la mi-2012, toutes les organisations impliquées dans le processus de stockage, de traitement et de transfert de WPC doivent se conformer aux exigences PCI DSS , et les entreprises de la Fédération de Russie ne font pas exception. Pour comprendre si votre organisation est soumise au respect obligatoire des exigences de la norme PCI DSS , nous suggérons d'utiliser un schéma fonctionnel simple.

La première étape consiste à répondre à deux questions :

  • Les données des cartes de paiement sont-elles stockées, traitées ou transmises au sein de votre organisation ?
  • Les processus métier de votre organisation peuvent-ils affecter directement la sécurité des données des cartes de paiement ?
    •

Si les réponses à ces deux questions sont négatives, faites-vous certifier selon PCI DSS ce n'est pas nécessaire. En cas d'au moins une réponse positive, comme le montre la figure 1, le respect de la norme est nécessaire.

2. Quelles sont les exigences PCI DSS ?

La conformité à la norme nécessite le respect des exigences, qui sont résumées dans les douze sections présentées dans le tableau ci-dessous :


Si vous allez un peu plus loin, la norme nécessite de passer environ 440 procédures de vérification, ce qui devrait donner un résultat positif lors de la vérification de la conformité aux exigences.

3. Comment puis-je vérifier la conformité PCI DSS ?

Il existe différentes façons de confirmer la conformité aux exigences de la norme PCI DSS qui consiste à réaliser audit externe (QSA) , audit interne (AIS) ou auto-évaluation (SAQ) organisations.

Les caractéristiques de chacun d'eux sont illustrées dans le tableau.


Malgré l'apparente simplicité des méthodes présentées, les clients sont souvent confrontés à des incompréhensions et à des difficultés pour choisir la méthode appropriée. Les questions émergentes ci-dessous en sont un exemple.

4. Dans quelle situation est-il nécessaire de réaliser un audit externe, et dans lequel - interne ? Ou suffit-il de se limiter à l'auto-évaluation de l'organisation ?

Les réponses à ces questions dépendent du type d'organisation et du nombre de transactions traitées par an. Cela ne devrait pas être un choix aléatoire, car il existe des règles documentées qui régissent la manière dont une organisation utilisera pour vérifier la conformité à une norme. Toutes ces exigences sont fixées par les systèmes de paiement internationaux, dont les plus populaires en Russie sont Visa Et carte maîtresse. Il existe même une classification selon laquelle on distingue deux types d'organisations : le commerce sociétés de services (commerçants) et prestataires de services.

Entreprise de commerce et de service est un organisme qui accepte les cartes de paiement pour le paiement de biens et de services (boutiques, restaurants, boutiques en ligne, stations-service, etc.). Une entreprise de commerce et de services est une organisation qui accepte les cartes de paiement pour le paiement de biens et de services (magasins, restaurants, boutiques en ligne, stations-service, etc.).

En fonction du nombre de transactions traitées par an, les commerçants et les prestataires de services peuvent être classés en différents niveaux.

Supposons qu'une entreprise de commerce et de services traite jusqu'à 1 million de transactions par an en utilisant le commerce électronique. Par classement Visa Et carte maîtresse(Fig. 2) l'organisation sera classée au niveau 3. Par conséquent, pour confirmer la conformité PCI DSS il est nécessaire de réaliser une analyse de vulnérabilité externe trimestrielle des composants de l'infrastructure d'information ASV (Approved Scanning Vendor) et une auto-évaluation SAQ annuelle. Dans ce cas, l'organisation n'a pas besoin de collecter des preuves de conformité, car cela n'est pas nécessaire pour le niveau actuel. La feuille d'auto-évaluation SAQ remplie servira de document de déclaration.

Numérisation ASV (fournisseur de numérisation approuvé)— vérification automatisée de tous les points de connexion de l'infrastructure informatique à Internet afin d'identifier les vulnérabilités. PCI DSS exige que cette procédure soit effectuée sur une base trimestrielle.

Ou prenez l'exemple d'un fournisseur de services cloud qui traite plus de 300 000 transactions par an. Selon le classement établi Visa ou carte maîtresse, le fournisseur de services sera classé au niveau 1. Cela signifie que, comme indiqué dans la figure 2, il est nécessaire d'effectuer une analyse de vulnérabilité externe trimestrielle des composants de l'infrastructure d'information ASV, ainsi qu'un audit QSA externe annuel.

Il convient de noter que la banque participant au processus d'acceptation des cartes de paiement pour le paiement de biens ou de services, la banque dite acquéreur, ainsi que systèmes de paiement internationaux (IPS ) peuvent prévaloir sur le niveau du commerçant qui leur est connecté ou du prestataire de services utilisé en fonction de leur propre évaluation des risques. Le niveau attribué prévaudra sur la classification du système de paiement international indiquée à la figure 2.



Vous avez aimé l'article ? Partagez-le
Articles connexes recommandés
Authentification à deux facteurs, son fonctionnement et ses utilisations Des chercheurs démontrent une attaque simple pour contourner l'authentification à deux facteursAuthentification à deux facteurs, son fonctionnement et ses utilisations Des chercheurs démontrent une attaque simple pour contourner l'authentification à deux facteurs
Nous choisissons une tablette chinoise de haute qualité et peu coûteuse Quelle tablette est la meilleure des ChinoisNous choisissons une tablette chinoise de haute qualité et peu coûteuse Quelle tablette est la meilleure des Chinois
Un chatbot de Microsoft a détesté l'humanité en un jour et est devenu nazi (mis à jour) Comment c'était : l'évolution de la Un chatbot de Microsoft a détesté l'humanité en un jour et est devenu nazi (mis à jour) Comment c'était : l'évolution de la "conscience" du bot
Les visiteurs discutent maintenant
Comment désinstaller un programme qui ne se désinstalle pasComment désinstaller un programme qui ne se désinstalle pas Téléviseurs LG
Mode d'emploi Microsoft Lumia 550Mode d'emploi Microsoft Lumia 550 Lien D
Test du système d'enceintes Samsung Level Box Slim !Test du système d'enceintes Samsung Level Box Slim ! iPhone/iPad
Xiaomi Mi5 - dimensions minces et puissantes de la belle Xiaomi mi5Xiaomi Mi5 - dimensions minces et puissantes de la belle Xiaomi mi5 Lien TP