Démystifier la conformité PCI DSS – éliminé par le SSL Store ™ – Gratuit : Audit complet de votre site internet

Avant de commencer !

Démystifier la conformité PCI DSS - éliminé par le SSL Store ™
Share on facebook
Share on twitter
Share on pinterest

En ce qui concerne la conformité, PCI DSS n’est pas aussi onéreux qu’il n’y paraît

La conformité est, sans aucun doute, la plus grande préoccupation de la plupart des organisations lorsqu’elles gèrent leur certificat et leurs principales fonctions de gestion. Que ce soit la conformité PCI DSS, le GDPR, HIPAA ou tout autre cadre réglementaire, la non-conformité est un anathème pour la plupart des entreprises, elle peut entraîner une perte de confiance et des sanctions financières massives.

Et franchement, si je devais deviner, je dirais que c’est pourquoi la conformité
se classe si haut parmi les préoccupations des entreprises. Autres ramifications d’une mauvaise sécurité
ou la gestion des certificats / clés n’a pas d’effet aussi évident. Une violation de données ou
une clé compromise peut causer une tonne de dégâts, mais ces dommages sont plus difficiles à
quantifier en temps réel. Les pénalités de conformité sont des quantités connues, « si nous ne
faire X, nous recevons une amende Y.  »

C’est facile à comprendre et à expliquer à la suite C et à la haute direction. Si je viens dans votre bureau et que j’essaie d’expliquer ce qui pourrait arriver si un certificat expire, il nécessite une explication beaucoup plus longue – et plus d’attention de la part de la personne à qui vous l’expliquez – que de simplement déclarer que nous recevrons une amende de 10 000 $ pour ne pas avoir fait quelque chose .

Quoi qu’il en soit, aujourd’hui, nous allons parler des normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et essayer de les démystifier un peu. En ce qui concerne la conformité, la conformité PCI DSS n’est vraiment pas si lourde. En fait, c’est en fait assez simple. Parlons donc de PCI DSS, de la façon dont vous pouvez faciliter la conformité à PCI DSS et de ce qui se passe si vous décidez que cela pose trop de problèmes.

Disons-le.

PCI DSS: protection des informations de carte de paiement

Lorsque nous parlons de données sensibles, les informations de carte de paiement sont parmi les plus précieuses. C’est pour des raisons assez évidentes. Il est donc très logique que l’industrie des cartes de paiement veuille mettre en place certaines exigences pour la protéger. Nous avons vu ce qui peut arriver lorsque les informations d’une carte de paiement sont compromises grâce à des violations comme celles d’Equifax.

Le Conseil des normes de sécurité de l’industrie des cartes de paiement est composé de tous les plus grands créanciers du monde:

  • Visa
  • American Express
  • MasterCard
  • Découvrir
  • JCB International

Fondamentalement, toutes les principales sociétés de cartes de crédit. C’est le PCI SSC qui détermine les exigences de conformité PCI DSS (aujourd’hui, nous dînons sur la soupe aux acronymes). Et c’est ce qui rend ces règles contraignantes, si vous souhaitez accepter les cartes de paiement de ces sociétés, vous devrez suivre leurs règles. Ils ont tous intégré la norme PCI DSS dans les exigences techniques de chacun de leurs programmes de conformité respectifs et attendent de toute entreprise qui accepte le paiement via sa carte qu’elle les respecte.

Nous entrerons dans les pénalités pour non-conformité avec PCI DSS
plus tard, mais il suffit de dire qu’en plus des amendes, vous aurez probablement votre
relation avec ces créanciers dégradée ou peut-être même complètement rompue.

Maintenant, il convient de souligner que si le conseil fixe la
règles, il ne les applique pas. Cela incombe aux marques de paiement individuelles.
Ainsi, la non-conformité ne se traduit pas nécessairement par une seule amende monolithique ou
pénalité – chacune de ces sociétés appliquera des pénalités en utilisant sa propre
directives propriétaires. Donc, vous pourriez vous retrouver avec quatre ou cinq amendes,
en fonction de la façon dont vous enfreignez les règles.

C’est sans doute la plus grande idée fausse sur PCI DSS.

Les exigences de conformité PCI DSS ne sont vraiment qu’un tas de meilleures pratiques de sécurité

Voici la chose, la plupart des 12 exigences PCI DSS ne sont que des mesures de bon sens que vous devriez déjà prendre. Ce n’est pas comme si PCI DSS vous demandait de réinventer la roue ou quoi que ce soit. Il existe 12 exigences différentes qui se répartissent en six catégories différentes:

Exigences de conformité PCI DSS

Lorsque vous regardez réellement les exigences, vous verrez que rien n’est si lourd. Encore une fois, la plupart de ce sont des choses que vous faites déjà idéalement. Pare-feu, programmes antivirus, gestion des accès, cryptage – tout cela est un fruit peu volumineux. Vous avez juste besoin de le documenter. Et même les choses qui semblent difficiles peuvent être traitées assez rapidement.

C’est aussi simple que le permettent les réglementations.

Et une partie de cela découle de la position unique du PCI
SSC opère. À la différence du Forum CAB, où les navigateurs gouvernent essentiellement par
édit et vous devez suivre ce qu’ils disent pour continuer à fonctionner sur leur
plates-formes, le PCI SSC peut créer et appliquer ces règles car elles occupent une
position de force dans leur industrie. Si vous souhaitez accepter leur paiement
cartes, vous devez jouer selon leurs règles.

Comparez cela à d’autres réglementations comme le RGPD, qui doivent fonctionner dans le contexte des gouvernements des États, et il est beaucoup plus facile d’être clair et concis. L’UE doit rédiger le RGPD de manière à ce qu’il puisse être assimilé dans les différentes lois nationales de ses États membres. Cela peut conduire à une certaine ambiguïté et confusion lorsque les entreprises du monde entier tentent de l’interpréter.

Les deux règlements contiennent en fait beaucoup des mêmes choses,
PCI DSS est juste beaucoup plus clair à ce sujet.

Qui doit suivre PCI DSS?

Toute personne qui accepte les cartes de paiement de ce qui précède
les marques doivent se conformer à la norme PCI DSS. C’est vrai avec à peu près n’importe quel paiement
plate-forme que vous utilisez, même PayPal a des conditions de service qui doivent être suivies.

PCI DSS est divisé en quatre niveaux de conformité différents.
Plutôt inintuitivement, ils ne montent pas – le niveau 1 est le plus strict et le niveau 4 est
les plus laxistes.

Pourtant, les exigences sont en grande partie les mêmes aux quatre niveaux, la plus grande différence étant que les organisations de niveau 1 nécessitent un audit sur site en plus de leurs autres responsabilités.

Niveaux PCI DSS

Chaque niveau doit effectuer une auto-évaluation annuelle et soumettre des rapports d’analyse trimestriels, mais les niveaux doivent également effectuer cette évaluation de la sécurité des données sur site une fois par an également.

Passons maintenant en revue chacune des différentes exigences de conformité PCI DSS.

Exigences de conformité PCI DSS

Comme nous venons de le mentionner, vous pouvez regrouper ces exigences en
six catégories différentes. Nous allons les parcourir individuellement pour
par souci de clarté, mais vous pouvez parfois voir des choses classées de cette façon par d’autres
organisations. Ils ne se trompent pas, ils peignent simplement avec des traits plus larges.

1 – Installer et entretenir un pare-feu

Exigence de conformité PCI DSS 1

Les pare-feu surveillent et contrôlent le trafic lorsqu’il entre et sort de votre réseau. Son installation est considérée comme la meilleure pratique. D’une manière générale, il existe deux types différents de pare-feu, basés sur le réseau et basés sur l’hôte. Vous pouvez inspecter au niveau de l’application ou effectuer une inspection approfondie des paquets. Cependant, vous disposez de nombreuses options. La solution la plus appropriée varie en fonction de la taille et des besoins de votre organisation. Mais ne vous y trompez pas, acheter un bon pare-feu n’est pas exactement une tâche difficile. Faites juste preuve de diligence raisonnable avant de choisir un fournisseur. Tous les pare-feu ne sont pas créés égaux.

Détails:

  • Établir et implémenter un pare-feu et un routeur
    normes de configuration
  • Créez des configurations de pare-feu et de routeur qui
    restreindre les connexions entre les réseaux non approuvés et tous les composants du système
    l’environnement de données des titulaires de carte
  • Bloquer l’accès public direct entre Internet
    et tout composant système dans l’environnement de données du titulaire de carte
  • Installer un logiciel de pare-feu personnel (ou quelque chose
    équivalent) sur tous les appareils portables connectés qui se connectent à Internet
    en dehors du réseau
  • Assurez-vous que vos politiques de sécurité et
    les procédures opérationnelles de gestion des pare-feu sont documentées, utilisées et connues
    aux principales parties prenantes

2 – Modifier les valeurs par défaut du fournisseur (identifiants et mots de passe)

Exigence de conformité PCi DSS 2

Lorsque vous achetez un nouvel appareil (ou même certains logiciels), il est généralement configuré pour utiliser un fournisseur par défaut pour son mot de passe et son ID de connexion. Il s’agit de s’assurer que l’appareil est accessible, mais ces valeurs par défaut des fournisseurs sont publiées en ligne et faciles à trouver pour les criminels. Considérez maintenant que 95% des personnes ne modifient jamais leurs paramètres par défaut. C’est mauvais au niveau individuel, pire au niveau organisationnel. Nous avons démontré dans le passé à quel point le piratage trivial sur un appareil utilise les valeurs par défaut des fournisseurs et Shodan.io l’est. Vous pouvez voir pourquoi la documentation de conformité PCI DSS est explicite sur la modification de ces valeurs par défaut. Négliger de le faire n’est pas si différent de laisser une clé sous votre paillasson – vous invitez simplement des invités indésirables.

Détails:

  • Toujours modifier les informations d’identification par défaut fournies par le fournisseur
    et supprimer ou désactiver les comptes par défaut inutiles avant d’installer un système
    sur le réseau
  • Développer des normes de configuration pour tous les systèmes
    Composants. Assurez-vous que ces normes concernent toutes les sécurités connues
    vulnérabilités et sont compatibles avec le renforcement du système accepté par l’industrie
    normes
  • Chiffrer tous les accès administratifs non liés à la console
    en utilisant une cryptographie forte (nous verrons ce que cela signifie plus tard)
  • Maintenir un inventaire des composants du système qui
    sont pertinentes pour PCI DSS
  • Assurez-vous que vos politiques de sécurité et
    les procédures opérationnelles de gestion des défauts de paiement des fournisseurs et d’autres mesures de sécurité
    les paramètres sont documentés, utilisés et connus des principaux intervenants
  • Les hébergeurs mutualisés doivent protéger chacun
    environnement hébergé de l’entité et données du titulaire de la carte

3 – Protéger les données des titulaires de carte au repos

Exigence de conformité PCi DSS 3

Les deux exigences de conformité PCI DSS suivantes peuvent toutes deux être classées comme exigences de chiffrement. Vous devez déjà crypter toutes les informations personnelles au repos et en transit. Presque tous les cadres de conformité incluent cette exigence. Le chiffrement des données au repos les protège même en cas d’intrusion sur le réseau. Ces données sont inutiles pour les criminels et les pirates s’ils ne peuvent pas les décrypter. De toute évidence, cela fait de la sécurité des clés une préoccupation majeure, mais tant que les précautions appropriées sont prises, la recherche et la mise en service de solutions de chiffrement au repos ne devraient pas poser de problème.

Détails:

  • Limitez au minimum le stockage des données des titulaires de carte en
    concevoir et mettre en œuvre des politiques, des procédures et des
    processus
  • Ne stockez pas les données d’authentification sensibles après
    autorisation (même si elle est cryptée)
  • Masquer les numéros de compte principaux lorsqu’ils sont affichés (le
    les six premiers et les quatre derniers chiffres sont le nombre maximal de chiffres qui sont
    autorisé à être affiché), assurez-vous que seul le personnel ayant une entreprise légitime
    le besoin peut voir plus que les six premiers / quatre derniers chiffres du PAN
  • Rendre PAN illisible en utilisant le hachage, le chiffrement
    ou troncature
  • Documentez et implémentez les procédures que vous utilisez pour
    protéger et gérer les clés de chiffrement

4 – Protéger les données des titulaires de carte en transit

Exigence de conformité PCI DSS 4

Cette exigence de conformité PCI DSS pourrait être réécrite simplement en utilisant SSL / TLS et HTTPS. Ne pas tirer notre propre klaxon, mais SSL est un peu notre truc. Depuis juillet 2018, il est obligatoire pour tous les sites Web, vous devez donc déjà satisfaire à cette exigence. Mais son importance ne peut être sous-estimée. Les connexions Internet ne sont pas 1: 1, elles sont acheminées par des dizaines de points différents sur leur chemin vers leur destination. Rappelez-vous comment nous venons de discuter du fait que pour 20 personnes, 19 n’ont pas modifié les paramètres d’usine par défaut de leurs routeurs et webcams? Eh bien, cela revient à nous mordre ici, car si l’un de ces points par lesquels votre connexion est acheminée est compromis – encore une fois, pas difficile à retirer – toute information qui la traverse peut être interceptée et volée. Ou même manipulé. SSL / TLS protège contre cela, plutôt que les données traversant son chemin en texte clair, il est crypté et devient inutile pour les attaquants – même s’ils ont compromis l’un des appareils sur lesquels ils transitent.

Détails:

  • Utilisez des protocoles de cryptographie et de sécurité puissants
  • N’envoyez pas les informations du titulaire de carte via un lien non sécurisé
    des canaux comme des messages texte ou des applications de messagerie non chiffrées
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures de chiffrement des données en transit sont documentées, utilisées et connues
    toutes les parties prenantes clés

5 – Utilisez un logiciel antivirus et mettez-le à jour régulièrement

Exigence de conformité PCI DSS 5

Il s’agit en quelque sorte d’une exigence en deux parties, car le simple fait d’avoir un programme antivirus ne suffit pas. De plus en plus de logiciels malveillants sont découverts et documentés chaque jour. Ces programmes antivirus reçoivent des mises à jour régulières afin de pouvoir détecter même les logiciels malveillants les plus récents. Donc, ne pas mettre à jour régulièrement votre programme antivirus le rend littéralement moins efficace de jour en jour. N’oubliez pas que la cybercriminalité est un jeu de chat et de souris. Bien que vous voyiez parfois des criminels dépoussiérer un exploit datant d’une décennie, ils essaient généralement de garder une longueur d’avance sur la communauté de la sécurité en évoluant continuellement. En d’autres termes, Comodo utilise plus de 30 000 tests différents à partir d’échantillons de logiciels malveillants connus lorsqu’il exécute une analyse. Vous avez également besoin de chacun de ces tests. Et vous devez les tenir à jour. Ne pas mettre à jour peut conduire à un désastre – il suffit de demander à Equifax.

Détails:

  • Déployez votre logiciel antivirus sur n’importe quel système
    qui peuvent être affectés par des logiciels malveillants
  • Assurez-vous de garder vos programmes antivirus à jour,
    exécuter des analyses régulières et les documenter dans les journaux d’audit
  • Assurez-vous que vos programmes antivirus sont toujours
    en cours d’exécution et ne peut pas être désactivé par les utilisateurs non privilégiés
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures d’administration de votre programme antivirus sont documentées, en cours d’utilisation et
    connu de toutes les parties prenantes clés

6 – Développer et maintenir des systèmes et des applications sécurisés

Exigence de conformité PCi DSS 6

Le mot qui confond les gens dans cette exigence est «développer».
La plupart des entreprises ne développent pas leurs propres systèmes de sécurité, elles exploitent
produits de fournisseurs de sécurité de confiance. Vraiment toute cette exigence demande
vous devez maintenir une bonne cadence de correction et mettre en place un diagnostic
système qui peut trouver des vulnérabilités et les classer en termes de gravité. Encore,
vous pouvez trouver une solution pour cela qui ne nécessite aucun développement. Et, pas
attention, ceci ne fait que suivre les meilleures pratiques. Tout comme avec
mise à jour de votre antivirus, les programmes que vous utilisez trouvent et divulguent
vulnérabilités tout le temps. Lorsque cela se produit, ils émettent un patch pour protéger
encontre. Ne pas installer ces correctifs régulièrement rend vos systèmes vulnérables.
Assurez-vous donc que vous disposez d’un système d’identification des vulnérabilités et
les corriger ou les corriger.

Maintenant, rapidement, si vous êtes en train de développer un système, vous devez le faire en mettant l’accent sur la sécurité. Cela signifie qu’il doit être conçu pour se conformer aux exigences de conformité PCI DSS et aux meilleures pratiques de l’industrie. Mais encore une fois, cette exigence n’est vraiment pas aussi compliquée qu’elle peut paraître à première vue.

Détails:

  • Mettre en place un processus d’identification des failles de sécurité,
    utiliser des sources externes fiables pour obtenir des informations sur les failles de sécurité, et
    attribuer un classement des risques
  • Assurez-vous que tous les composants du système et
    les logiciels sont protégés contre les vulnérabilités connues en installant les logiciels
    correctifs de sécurité fournis par le fournisseur
  • Si vous développez des programmes ou des systèmes, faites
    assurez-vous de respecter les normes PCI DSS et les meilleures pratiques de l’industrie
  • Suivre les processus et procédures de contrôle des changements
    pour toutes les modifications apportées aux composants du système
  • Corrigez les vulnérabilités de codage courantes de manière formelle
    processus de développement de logiciels
  • Pour les applications Web ouvertes au public,
    menaces et vulnérabilités sur une base continue
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures de maintenance des systèmes et des applications sécurisés sont documentées,
    utiliser et connu de toutes les parties prenantes clés

7 – Restreindre l’accès aux données en fonction des besoins

Exigence de conformité PCi DSS 7

Cette exigence de conformité PCI DSS revient à attribuer des privilèges aux utilisateurs de votre réseau et à documenter ces décisions. Mais, encore une fois, ce n’est que la meilleure pratique. Votre réseau et ses serveurs stockent toutes sortes d’informations. Permettre aux employés un accès complet à tout invite à des problèmes. Les employés ne doivent être autorisés qu’à accéder aux données pertinentes pour leurs fonctions. Par exemple, au sein de notre propre organisation, j’ai accès aux serveurs de marketing et de production, mais si j’essaye d’accéder à notre serveur d’expérience client, mon ordinateur émet une secousse d’électricité qui me met pratiquement hors de ma chaise (c’est en fait une amélioration, à nous avons d’abord mal configuré le zapper et eu un moment Green Mile avec un stagiaire). Ces types de contrôles d’accès ont du sens et vous aident à cloisonner les informations, ce qui limite les dommages en cas de fraude d’un employé.

Détails:

  • Limitez l’accès aux composants du système et au titulaire de la carte
    données uniquement à ceux qui en ont besoin
  • Mettre en place un ou des systèmes de contrôle d’accès pour
    composants système qui restreint l’accès en fonction du besoin de l’utilisateur de savoir
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures de contrôle d’accès sont documentées, utilisées et connues de toutes les
    les parties prenantes

8 – Attribuez à tout le monde sur votre réseau un identifiant unique et authentifiez-les

Exigence de conformité PCi DSS 8

Ceci est juste du bon sens. En fait, il est si étroitement associé à l’élément précédent que vous pourriez probablement les combiner. Il est difficile d’appliquer le contrôle d’accès si les utilisateurs de votre réseau ne possèdent pas d’identifiants uniques et ne peuvent pas être authentifiés. Cependant, cela va au-delà de l’attribution d’ID, il s’agit de créer une stratégie qui régit l’attribution et la suppression des ID des employés, les méthodes d’authentification, la façon dont vous gérez les comptes inactifs, ce qui se fait lorsqu’un employé est résilié, combien de temps un compte peut-il rester inactif avant d’être verrouillé, comment récupérer un mot de passe, etc. Vous allez également vouloir utiliser l’authentification multifacteur pour ajouter une couche de sécurité supplémentaire. Encore une fois, cette exigence de conformité PCI DSS n’est que la meilleure pratique.

Détails:

  • Définir et mettre en œuvre des politiques et procédures pour
    assurer une bonne gestion de l’identification des utilisateurs pour les employés et les administrateurs
  • En plus d’attribuer un ID unique, assurez-vous
    bonne gestion de l’authentification des utilisateurs pour les employés et les administrateurs
  • Sécurisez tous les administrateurs individuels non-console
    accès et tout accès à distance avec authentification multifacteur
  • Documenter et communiquer les politiques d’authentification
    et procédures à tous les utilisateurs
  • N’utilisez pas d’ID de groupe, partagés ou génériques,
    mots de passe ou autres méthodes d’authentification
  • Tous les accès à toute base de données contenant un titulaire de carte
    les données doivent être réservées aux administrateurs selon les besoins
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures d’identification et d’authentification sont documentées, en cours d’utilisation et
    connu de toutes les parties prenantes clés

9 – Restreindre l’accès physique aux données

Exigence de conformité PCi DSS 9

Cette exigence de conformité PCI DSS est vraiment moins un problème de cybersécurité que c’est un problème de sécurité physique avec un impact sur la cybersécurité. C’est aussi une autre dose de bon sens. Le matériel qui stocke vos données est coûteux et nécessite probablement beaucoup d’efforts pour le maintenir. Vous ne voudriez pas que vos employés s’en approchent, même indépendamment de vos problèmes de sécurité. Je ne dis pas que vous devez laisser un espace d’air entre tous vos ordinateurs, mais vous devez vous assurer que vous disposez de protections physiques empêchant tout accès non autorisé au matériel. Cela s’étend également à d’autres éléments critiques. Comme les clés de chiffrement. Les stocker sur un jeton matériel physique est un excellent moyen d’améliorer la sécurité. Assurez-vous simplement que seul le personnel autorisé peut y accéder physiquement.

Encore une chose, la documentation de conformité PCI DSS fait référence à «média», voici une définition de travail de ce terme:

Papier et supports électroniques (y compris les ordinateurs,
médias électroniques, matériel de réseautage et de communication, télécommunications
lignes, reçus papier, rapports papier et télécopies) contenant les données du titulaire de la carte

Détails:

  • Utiliser des «contrôles d’entrée appropriés pour les installations»
    (serrures, systèmes de sécurité) pour surveiller l’accès physique aux systèmes de stockage
    données du titulaire de la carte
  • Élaborer des procédures pour aider à distinguer rapidement
    entre employés et visiteurs
  • Restreindre l’accès des employés aux zones sensibles
  • Créer et mettre en œuvre des procédures d’identification
    et autoriser les visiteurs
  • Sécurisez physiquement tous les appareils et supports
  • Maintenir des contrôles stricts sur les
    distribution externe de tout type de média
  • Maintenir des contrôles stricts sur le stockage et
    accessibilité des médias
  • Détruisez le support lorsqu’il n’est plus requis pour
    Entreprise
  • Protégez les appareils qui capturent les données des cartes de paiement
    via une interaction physique directe avec la carte de «falsification et substitution»
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures de protection de la sécurité physique sont documentées, utilisées et connues
    à toutes les parties prenantes clés

10 – Suivez et surveillez tous les accès aux données du réseau

Exigence de conformité PCi DSS 10

La surveillance du trafic sur votre réseau est quelque chose que la plupart des organisations font déjà. Il est important de voir ce qui quitte votre réseau et comment se comportent les utilisateurs. Dernièrement, nous avons vu l’apprentissage automatique commencer à dominer cette conversation. Alors qu’il serait extrêmement difficile pour un humain de tout surveiller en temps réel (vous pouvez voir toutes les exigences ci-dessous), une solution de surveillance basée sur l’apprentissage automatique (je n’irais pas jusqu’à l’étiqueter AI pour l’instant, bien que certains le fassent ) peut maintenir une visibilité complète tout en discernant les modèles d’utilisation qui peuvent indiquer quand quelque chose ne va pas. Par exemple, il sait quand les employés accèdent au réseau, à quoi ils accèdent généralement et d’où ils se connectent. Si cet employé se connecte soudainement à un moment étrange depuis un endroit éloigné et essaie d’accéder à quelque chose qu’il n’a pas l’habitude de faire, il est facile de l’identifier comme une anomalie, puis d’enquêter. Des solutions de surveillance sont facilement disponibles, il vous suffit de choisir celle qui correspond le mieux à vos besoins.

Détails:

  • Mettre en œuvre des pistes d’audit qui suivent l’accès au réseau
    de chaque individu, ils devraient être en mesure de reconstruire ce qui a été consulté et
    quelles mesures ont été prises, les audits devraient inclure:

    • Identité / nom des données, du système ou du composant
      affecté
  • Synchronisez le temps sur toutes les parties de votre
    réseau
  • Sécurisez vos journaux d’audit afin qu’ils ne puissent pas être
    modifié (application potentielle pour le hachage)
  • Consultez régulièrement les journaux pour rechercher le système principal
    événements et anomalies
  • Conserver tous les journaux d’audit pendant au moins un an et
    garder les trois derniers mois de journaux facilement accessibles
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures de surveillance du réseau sont documentées, utilisées et connues de toutes les
    les parties prenantes

11 – Analyser régulièrement les systèmes et revoir les processus

Exigence de conformité PCi DSS 11

Il s’agit de la soi-disant exigence de numérisation et de rapport, qui n’est pas aussi compliquée que cela puisse paraître à première vue. Pour répondre à cette exigence, il vous suffit d’acheter un produit de numérisation conforme à la norme PCI DSS. Nous utilisons HackerGuardian de Comodo CA / Sectigo. Il exploite les modèles antivirus de Comodo et fonctionne rapidement – il est également environ 200 $ moins cher que le prochain scanner le plus proche. L’exécution des analyses est simple, après l’avoir configuré pour s’exécuter sur votre réseau, vous utilisez simplement le client pour démarrer l’analyse. Il vous fournit des informations exploitables sur la correction de tout ce qu’il déclenche. Une fois que vous avez pris soin de cela, l’analyse s’exécute à nouveau et produit un rapport prêt à envoyer. Envoyez-le à votre banque acquéreuse une fois par trimestre et vous êtes prêt à partir. Encore une fois, ce n’est pas aussi difficile qu’il y paraît une fois que vous avez le bon scanner PCI.

Détails:

  • Mettre en œuvre des processus pour tester la présence de
    les points d’accès sans fil (802.11), et détecter et identifier tous les
    points d’accès sans fil non autorisés sur une base trimestrielle
  • Exécuter une vulnérabilité de réseau interne et externe
    scanne au moins tous les trimestres et après tout changement significatif du réseau
  • Mettre en œuvre et documenter une méthode de pénétration
    essai
  • Utiliser la détection d’intrusion et / ou
    techniques de prévention des intrusions pour détecter et / ou empêcher l’accès non autorisé à
    le réseau
  • Déployer un mécanisme de détection des changements (pour
    exemple, outils de surveillance de l’intégrité des fichiers) pour alerter votre organisation
    modifications non autorisées
  • Assurez-vous que les politiques de sécurité et opérationnelles
    les procédures de numérisation trimestrielle sont documentées, utilisées et connues de tous les
    les parties prenantes

12 – Maintenir une politique qui traite de la sécurité

Exigence de conformité PCi DSS 12

Ok, suivez les 11 dernières étapes et documentez-les. Tout. De la façon dont vous gérez vos identifiants réseau au processus de correction en passant par la numérisation – documentez tout cela. Si vous avez besoin d’aide pour créer une politique de sécurité, nous l’avons déjà longuement étudiée. Ce n’est pas difficile, il suffit d’être complet. Une fois que vous avez tout écrit, enregistrez-en une copie, puis revoyez-le chaque année pour mettre à jour tout ce qui a changé. Si jamais vous êtes audité, vous devrez prouver que votre politique de sécurité est un document vivant et respirant qui guide la sécurité de votre organisation.

Détails:

  • Établir, publier, maintenir et diffuser une politique de sécurité
  • Créer et documenter un processus d’évaluation des risques
  • Développer des politiques d’utilisation pour les infrastructures et les systèmes critiques
  • Assurez-vous que les politiques de sécurité et les procédures opérationnelles sont clairement définies pour tout le personnel concerné
  • Mettre en œuvre des programmes officiels de sensibilisation à la sécurité et de formation obligatoires pour tous les employés
  • Filtrer les embauches potentielles pour minimiser le risque d’attaques internes ou de sabotage
  • Gérer les accords de traitement des données et autres contrats requis avec tout partenaire avec lequel vous partagez les données du titulaire de carte
  • Créez un plan de réponse aux incidents et informez vos organisations des étapes à suivre

PCI DSS – Qu’est-ce que la cryptographie forte?

Clé de cryptage

Ah oui, «cryptographie forte», qu’est-ce que cela signifie? Les documents de conformité PCI DSS réels ne font allusion qu’à une «cryptographie forte», car ce qui constitue une «forte» va changer plus rapidement que les exigences de conformité PCI DSS seront mises à jour. Malheureusement, cela signifie que les organisations sont obligées de comprendre ce que cela signifie par elles-mêmes ou d’essayer de trouver une définition ailleurs.

La définition de la cryptographie forte par PCI DSS est essentiellement
en utilisant le cryptage basé sur des algorithmes testés et acceptés par l’industrie, à la clé
longueurs avec la dureté de calcul requise, puis tout gérer avec
certificat et meilleures pratiques de gestion des clés.

Plus précisément, cela signifie:

  • AES – longueur de clé de 128 bits ou plus
  • TDES / TDEA – Clés à triple longueur
  • RSA – Longueur de clé de 2048 bits ou plus
  • ECC – longueur de clé de 224 bits ou plus
  • DSA / DH – Longueur de clé 2048 bits / 224 bits ou plus

Comme nous l’avons indiqué dans le passé, nous vous recommandons d’utiliser des cryptosystèmes à base de courbes elliptiques pour SSL / TLS.

Exigences de conformité PCI DSS pour SSL / TLS

Nous avons mentionné plus tôt que vous devez sécuriser
les données du titulaire de la carte en transit. Cela signifie utiliser SSL / TLS. Et pendant que c’était
mentionné en passant plus tôt, nous voulions être explicites sur ce point suivant.

À une exception près (qui sera traitée dans la section suivante), PCI DSS vous suggère d’utiliser TLS 1.2 ou TLS 1.3 – vous ne pouvez absolument pas utiliser SSL ou TLS 1.0. Il est également fortement conseillé de supprimer la prise en charge de TLS 1.1.

Nous demandons à nos clients de s’en tenir à TLS 1.2 et TLS 1.3. Cela vous fera économiser du travail lorsque le PCI SSC rendra inévitablement obligatoire sa dépréciation.

Exigence PCI DSS supplémentaire pour SSL / TLS sur un ancien terminal POI POS
Connexions

Exigence POS POI PCI DSS

Les appareils et systèmes hérités posent un problème particulier car
beaucoup ne bénéficient plus d’un soutien actif, ce qui signifie qu’il n’y a aucun moyen
prendre en charge de nouvelles versions de protocole. Cela est particulièrement vrai pour le point de vente (POS) ou
terminaux de point d’interaction (POI). Des trucs comme des caisses enregistreuses. Si vous êtes un
organisation utilisant une technologie héritée qui ne peut tout simplement pas être mise à jour pour prendre en charge
protocoles et algorithmes plus récents, il y a des garanties supplémentaires dont vous aurez besoin
pour mettre en place.

  • Les organisations utilisant des terminaux POS POI qui ne prennent en charge que SSL et les anciennes versions TLS doivent avoir des plans formels d’atténuation des risques et de migration des risques.
  • Les périphériques hérités situés dans des environnements «carte présente» doivent être vérifiés comme n’étant pas sensibles aux exploits connus affectant SSL et les premières versions de TLS.

Vous le vérifiez en fournissant la documentation requise,
soit du fournisseur, soit de vos propres efforts de correction.

Gardez à l’esprit que tout nouveau terminal doit pouvoir
prenant en charge TLS 1.2 et TLS 1.3. Ces appareils hérités bénéficient de droits acquis
dans, aller de l’avant, ils devraient être éliminés.

Quelles sont les pénalités PCI DSS pour non-conformité?

Commençons par la façon dont les sanctions sont infligées, puis nous verrons ce qui peut arriver. Tout d’abord, les sanctions de conformité PCI DSS sont comme Fight Club, elles n’en parlent pas. Les sanctions PCI DSS ne sont pas discutées ouvertement et rarement même rendues publiques.

Cela ne signifie pas pour autant qu’ils ne sont pas catastrophiques.

Pour commencer, le PCI SSC n’administre pas les amendes, les sociétés de crédit le font. Individuellement. Donc, si vous acceptez Visa, Mastercard et American Express lorsque vous ne respectez pas la norme PCI DSS, vous ne cherchez pas une amende. Vous en envisagez potentiellement trois.

Ensuite, ils ne vous infligent pas d’amende directement. Ils finissent votre acquisition
banque. Votre banque acquéreuse vous répercute ensuite l’amende. Souvent avec
frais et pénalités supplémentaires.

Parlons maintenant de ce qui peut arriver.

Il y aura deux impacts: un impact immédiat et un impact à plus long terme.

Chaque marque de paiement peut infliger des amendes aux organisations non conformes entre 5 000 et 100 000 dollars par mois tant que le problème persiste. De toute évidence, si vous êtes pénalisé par plusieurs marques de paiement, ces chiffres peuvent aller de 25 000 $ à 500 000 $. C’est un impact immédiat. Cela sort tout droit de vos résultats.

Ensuite, il y a l’impact à plus long terme. Au mieux, vous devrez peut-être vous soumettre à une évaluation ou subir des audits supplémentaires. Au pire, votre banque acquéreuse rompra les liens, vous ne serez pas en mesure d’accepter les cartes de paiement et vous passerez vos années d’or à vivre sous un viaduc, offrant aux raclettes des pare-brise pour le changement de porte-gobelet.

La conformité PCI DSS n’est que du bon sens formalisé

Rien de demandé à votre organisation depuis la carte de paiement
l’industrie est vraiment hors-base. Ce sont des choses que chaque organisation devrait déjà
faire.

Si quoi que ce soit, la conformité PCI DSS peut être une aubaine pour votre organisation car elle vous oblige essentiellement à suivre les meilleures pratiques de sécurité. C’est une bonne chose. Nous écrivons tout le temps sur le coût des violations de données et des incidents de sécurité. Ils peuvent jeter les petites et moyennes entreprises dans un péril existentiel et peuvent même réussir à crater les résultats des entreprises.

Tout ce que vous pouvez faire pour parer à cette menace est tout simplement bon
Entreprise.

La conformité PCI DSS n’est vraiment pas si compliquée si vous n’y pensez pas trop. Suivez simplement les étapes que PCI SSC a décrites et documentez tout ce que vous faites. Cette deuxième partie est presque aussi importante que la première – c’est une fois que vous voulez laisser une trace écrite.

Comme toujours, laissez vos commentaires ou questions ci-dessous…

Hashed Out by The SSL Store est la voix de l'enregistrement dans l'industrie SSL / TLS.

Inscris-toi à notre newsletter !

Partage cet article avec tes amis !

Share on facebook
Share on google
Share on twitter
Share on linkedin