|
|
PCI Data Security
Standard : Votre entreprise est-elle conforme ?
|
Depuis le 30 juin 2005, le GIE Cartes Bancaires
adhère au programme « Payment Card Industry Data
Security Standard » (PCI DSS) lancé par Visa et
Mastercard en novembre 2004. Ce programme vise à
renforcer la sécurité des données des transactions
sur Internet, notamment pour éviter les vols de
fichiers comportant des numéros de carte. Il établit
des règles standards qui s'imposent à tous les
acteurs du e-commerce.
|
|
|
Les obligations ou recommandations qui incombent aux
commerçants, dans le cadre de ce programme, sont
fonction du nombre de transactions qui sont passées
chaque année sur leur site marchand. Quatre niveaux ont
été définis.
Plusieurs offres sélectionnées et proposées par Cortina
répondent aux problématiques couvertes par le standard
PCI. En voici quelques exemples :
|
Problématique
|
|
Offre Cortina
|
|
Gestion de patches de sécurité
Les systèmes de développement, de test et de
production sont-ils mis à jour au moyen des derniers
correctifs disponibles sur le marché en matière de
sécurité ? (requirement 6.1 Application des patches de
sécurité en moins de 30 jours, et point 6.1.1 de la
procédure d’audit) |
|
Gestion de Patches multi-OS et multi-sites
Emulation de patches de sécurité serveurs,
applications et bases de données |
|
Ségrégation des droits et des accès
L'utilisation de comptes et de mots de passe
collectifs, partagés ou génériques est-elle interdite
aux utilisateurs internes ? (requirement et point
8.5.8 de la procédure d’audit) |
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Sécurisation des accès privilégiés
Existe-t-il une politique de gestion des mots de passe
spécifique aux utilisateurs internes, qui impose à ces
derniers l'utilisation de mots de passe renforcés et
leur interdit de fournir des mots de passe ayant déjà
été utilisés ? (requirement et point 8.5.12 de la
procédure d’audit) |
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Gestion, protection et Traçabilité des accès
privilégiés
Les comptes et mots de passe par défaut qui ont été
définis par le fournisseur ont-ils été désactivés ou
modifiés sur les systèmes de production avant la mise
en service de ces derniers ? (requirement 2.2 et point
8.5.5 de la procédure d’audit) |
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Sécurisation des mots de passe embarqués dans les
applications
Les comptes et mots de passe embarqués dans les
applications donnant accès aux bases de données
contenant les informations relatives aux cartes
bancaires font également parti du périmètre (requirement
et point 8.5.16 de la procédure d’audit) |
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Audit des comptes administrateurs
Tous les comptes utilisateur font-ils l'objet de
révisions régulières afin de prévenir l'existence de
comptes malveillants, périmés ou inconnus ? (requirement
8.5 et point 8.5.5 de la procédure d’audit) |
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Cryptage des accès privilégiés
Tous les mots de passe utilisés sur les systèmes et
les unités réseau sont-ils cryptés ? (requirement 8.4)
|
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Désactivation des comptes inutilisés
Les comptes inutilisés pendant une durée prolongée
sont-ils automatiquement désactivés sur le système
au-delà d'un délai prédéfini, inférieur à 90 jours ?
(point 8.5.5 de la procédure d’audit) |
|
Gestion, Protection et Traçabilité des Accès
privilégiés |
|
Il n'y a pas de conformité à PCI,
il n'y a que des preuves de conformité
|
|
L'apport de Cortina :
Expertises et aspect opérationnel
|
|
Les
offres Cortina intègrent donc systématiquement
une fonction d'audit et de traçabilité. Elle permet de
produire les éléments qui seront intégrés à la
documentation. |
|
Cortina
est à même de vous aider à aligner les
bénéfices des solutions proposées avec les exigences
du standard PCI. |
Liens utiles
 Site
Web
PCI Data Security Standard  Les
douze points à respecter pour être conforme PCI : "PCI
Data Security Standard" Standard
PCI (Payment Card Industry) : "Procédures d’audit"
Demande d'informations
Si vous souhaitez :
• un questionnaire
d’autoévaluation PCI (en français)
• un entretien avec un spécialiste
• des renseignements complémentaires
sur cette démarche
|
|
