La norme PCI-DSS, qui s’applique (ou s’appliquera un jour – dans tous les cas) aux organisations qui manipulent des données issues de cartes de crédit, vient d’être mis à jour dans une version 2.0. Pas de grande révolution (ce qui est assez logique, les entreprises ayant investi temps et argent dans la quête d’une certification sur une version précédente n’ayant pas forcément envie de repartir de zéro), mais quelques clarifications bienvenues, et notamment sur un point clé : La virtualisation. Il est désormais clairement clarifié que l’on peut utiliser des machines virtuelles, sous réserve – comme c’était le cas dans la version précédente du standard -, de ne faire porter à chaque machine virtuelle qu’une fonction applicative principale.
Une analyse des changements a été faite par un expert sécurité Cisco aux US et se trouve ici. Un bon début de lecture….