• Blog
  • Quelles seront les exigences de la norme PCI DSS en 2023 ?

Quelles seront les exigences de la norme PCI DSS en 2023 ?

PCI DSS est l’abréviation de Payment Card Industry Data Security Standard. Il s’agit d’une norme de sécurité en vigueur, qui décrit certaines des mesures que les entreprises sont tenues de prendre pour protéger les données.

Cela comprend plusieurs niveaux de sécurité, de l’utilisation d’un VPN comme NordVPN à l’installation d’un pare-feu. Vous devez également tout documenter efficacement. Si vous ne le faites pas, vous risquez de devoir payer de lourdes amendes en cas de violation des données.

Je vais vous présenter ci-dessous quelques-unes des principales exigences. Cela vous aidera à mieux comprendre le plan de sécurité complet que vous devez établir et mettre en œuvre. Il ne s’agit en aucun cas d’une liste exhaustive ; elle ne couvre que certains des principaux domaines. Veuillez vous référer au Guide PCI DSS dans son intégralité.

Table des matières

Exigence PCI DSS – Installer et maintenir une configuration de pare-feu

La norme PCI DSS définit de nombreuses exigences que tous les commerçants doivent respecter afin d’assurer leur conformité. La première étape consiste à protéger les données des titulaires de cartes en installant et en maintenant une configuration de pare-feu. Nous allons vous expliquer ce que cela implique et comment notre service peut vous aider.

Cette exigence est en fait la plus difficile techniquement de toutes les normes PCI DSS. L’installation et la maintenance d’une configuration de pare-feu peuvent sembler simples à première vue, mais cette exigence implique beaucoup de choses, comme vous allez le découvrir ci-dessous.

Quelles sont les attentes de PCI en matière d’installation et de maintenance d’une configuration de pare-feu ?

La première chose à faire est d’établir et d’installer des normes de configuration du routeur et du pare-feu, qui doivent comprendre tous les éléments suivants :

  1. Une procédure formelle pour le test et l’approbation de toutes les connexions réseau et les modifications des configurations des routeurs et des pare-feu.
  2. Un diagramme qui identifie tous les réseaux, les dispositifs de réseau et les composants des systèmes. Ce schéma doit inclure les connexions entre l’environnement de données du titulaire de la carte (CDE) et tous les autres réseaux, y compris les réseaux sans fil.
  3. Vous avez également besoin d’un diagramme qui montre les flux de données des titulaires de cartes sur l’ensemble de vos réseaux et systèmes.
  4. Pour chaque connexion Internet, il doit y avoir un pare-feu. Cela s’applique également entre toute zone démilitarisée (DMZ) et la zone du réseau interne.
  5. Pour gérer les composants du réseau, vous avez besoin d’une description de tous les groupes, rôles et responsabilités.
  6. L’utilisation de tous les services, ports et protocoles autorisés, ainsi que les mesures de sécurité utilisées pour les protocoles non sécurisés, doivent être justifiées et documentées.
  7. Vous devez revoir tous les ensembles de règles du routeur et du pare-feu tous les six mois au minimum.

Comprendre cette exigence :

Il faut savoir que les routeurs et les pare-feu jouent un rôle crucial en ce qui concerne les points d’entrée et de sortie du réseau. Ils accorderont l’accès autorisé au réseau et bloqueront les accès non désirés, ce qui montre bien pourquoi il est impératif de mettre en place des pare-feu et des routeurs. Les points a-g sont essentiellement les directives de PCI concernant les mesures à prendre pour garantir que cette première ligne de défense est aussi forte qu’elle doit l’être.

Voyons donc comment mettre en œuvre les points a-g :

    1. Processus formel de test/approbation – Ce processus est essentiel car il permet d’éviter les problèmes de sécurité dus à une mauvaise configuration du réseau, du pare-feu ou du routeur. Vous devez vous assurer que seuls les utilisateurs autorisés (avec un mot de passe) sont autorisés à effectuer des modifications et que ces modifications sont enregistrées et conservées.
    2. Diagramme identifiant les réseaux, les dispositifs de réseau et les composants de systèmes – Ces diagrammes décrivent la configuration du réseau et peuvent être utilisés pour identifier tous les emplacements des dispositifs de réseau. Sans cela, les dispositifs peuvent être laissés sans le savoir en dehors des contrôles de sécurité, ce qui peut constituer un risque grave. Vous devez générer et mettre à jour automatiquement les diagrammes de réseau.
    3. Diagramme de flux des données du titulaire de la carte – Il identifie l’emplacement de toutes les données du titulaire de la carte au sein du réseau. Cela vous permet de gérer les données plus efficacement.
    4. Pare-feu pour toutes les connexions Internet – Cela réduit les risques qu’une personne malveillante pénètre dans votre réseau via un réseau non protégé, car l’accès est surveillé et contrôlé plus efficacement. Assurez-vous qu’un pare-feu conforme à la norme PCI est installé pour chaque connexion Internet, ainsi qu’entre toute zone démilitarisée et la zone du réseau interne.
    5. Description de tous les groupes, rôles et responsabilités – Cela permet à tout le personnel de savoir qui est responsable de quoi. Ces rôles peuvent être gérés via un système de gestion centralisé.
    6. Documentation et justification commerciale pour tous les services, ports et protocoles autorisés – Cela vous permet de supprimer ou de désactiver tous les autres protocoles, ports ou services.
    7. Révisez le jeu de règles du routeur et du pare-feu tous les six mois – Une mise à jour constante est nécessaire pour répondre en permanence aux normes PCI DSS.

Vous devez également établir des configurations de routeur et de pare-feu qui limitent les connexions entre les composants du système CDE et les réseaux non fiables. Cela implique :

  1. Le trafic doit être limité, tant à l’entrée qu’à la sortie, afin que l’environnement des données des titulaires de cartes ne contienne que ce qui est nécessaire. Tout autre trafic non lié doit être séparé.
  2. Les fichiers de configuration des routeurs doivent être sécurisés et synchronisés.
  3. Contrôlez le trafic en installant des pare-feu périmétriques entre le CDE et tous les réseaux sans fil. Configurez ces pare-feu pour autoriser le trafic autorisé uniquement entre le CDE et l’environnement sans fil.

Comprendre cette exigence :

La deuxième étape consiste à réaliser la configuration correcte du pare-feu afin qu’il fonctionne correctement et contrôle le trafic réseau de manière sûre et efficace. Vous devez vous assurer que la protection du réseau est installée entre le réseau interne de confiance et tous les réseaux externes non fiables. Si vous ne le faites pas, vous êtes vulnérable à une attaque.

    1. Restreindre le trafic entrant et sortant – Cette mesure est nécessaire pour éviter que des attaquants malveillants n’accèdent à votre réseau en utilisant des services, des ports ou des protocoles de manière non autorisée ou via des adresses IP non autorisées. Pour ce faire, il faut créer un environnement de données pour les titulaires de cartes dans lequel tout le trafic entrant et sortant est refusé, à l’exception des transactions de paiement.
    2. Sécuriser et synchroniser les fichiers de configuration du routeur – Les fichiers de configuration de démarrage sont souvent négligés en raison de leur utilisation peu fréquente. Toutefois, s’ils ne sont pas mis à jour avec les mêmes paramètres de sécurité, un cybercriminel peut trouver un moyen d’y accéder.
    3. Installez des pare-feu périmétriques entre tous les réseaux sans fil et le CDE – Les individus malveillants exploitent souvent la technologie sans fil pour accéder aux détails des cartes. C’est pourquoi les pare-feu sont nécessaires pour limiter l’accès des réseaux sans fil à l’environnement des données des titulaires de cartes.

L’accès public direct entre tout composant du système CDE et l’Internet doit être interdit. Pour ce faire, vous devez :

  1. Le trafic entrant doit être limité aux composants du système qui fournissent des services, protocoles et ports autorisés accessibles au public. Mettez en place une DMZ pour y parvenir.
  2. Dans la DMZ, le trafic Internet entrant doit être limité aux adresses IP.
  3. Les connexions directes entre le CDE et Internet, qu’elles soient entrantes ou sortantes, doivent être interdites.
  4. Vous devez détecter et bloquer toute adresse IP source falsifiée afin qu’elle ne puisse pas entrer dans le réseau. Mettez en œuvre des mesures anti-spoofing pour y parvenir.
  5. Le trafic sortant non autorisé du CDE vers Internet ne doit pas être autorisé.
  6. Les connexions “établies” ne doivent être autorisées que sur le réseau.
  7. Tous les composants du système qui stockent les données des titulaires de cartes doivent être isolés de la DMZ et d’autres réseaux non fiables et placés dans une zone de réseau interne.
  8. Les informations de routage et les adresses IP privées ne doivent pas être divulguées à des parties non autorisées.

Comprendre cette exigence :

Les deux étapes précédentes ont porté sur la protection offerte par les pare-feu. Le pare-feu protège essentiellement les connexions des systèmes publics vers le CDE. Cependant, tout cela sera complètement inutile si vous permettez un accès direct entre les systèmes publics et le CDE.

    1. Mettre en place une zone démilitarisée (DMZ) – Cette zone gère les connexions entre l’Internet et les services que les entreprises doivent mettre à la disposition du public. Cela empêchera les cybercriminels d’utiliser l’Internet pour accéder à votre réseau interne. Limitez tout le trafic pour vous assurer que vous êtes en conformité.
    2. Limiter le trafic entrant aux adresses IP de la zone démilitarisée (DMZ) – Cela permet de s’assurer qu’aucune personne non autorisée n’y a accès. Interdire les connexions directes entre l’Internet et le CDE – Cela empêche l’accès non filtré entre les environnements de confiance et les environnements non de confiance. Par conséquent, si un cybercriminel obtient des informations sensibles, il ne pourra pas les envoyer de votre réseau à un serveur externe non fiable. Vous pouvez y parvenir en refusant tout trafic entrant et sortant, à l’exception des transactions de paiement.
    3. Mettez en place des mesures anti-spoofing – Les attaquants malveillants essaient souvent d’imiter une adresse IP pour vous faire croire qu’elle provient de votre propre réseau. Des mesures doivent être mises en place pour y mettre fin.
    4. Interdire le trafic sortant non autorisé du CDE vers Internet – Vous devez contrôler le trafic afin que seules les communications autorisées soient autorisées. Vous pouvez le faire en refusant tout trafic entrant et sortant, à l’exception des transactions de paiement.
    5. N’autoriser que les connexions établies dans le réseau – Vous avez besoin d’un pare-feu qui effectue une inspection des paquets avec état. Il s’agit de maintenir l’état de chaque connexion à travers le pare-feu afin de savoir si une réponse est autorisée ou si un cybercriminel essaie de tromper le pare-feu pour trouver un moyen d’entrer.
    6. Séparer les composants du système qui stockent les données des titulaires de cartes de la zone démilitarisée (DMZ) – Les cybercriminels disposent de moins de couches à pénétrer si les informations relatives aux titulaires de cartes sont stockées dans la DMZ. Il leur est ainsi plus facile d’y accéder. Les données des titulaires de cartes doivent se trouver dans un réseau séparé.
    7. Les informations de routage et les adresses IP privées ne doivent pas être divulguées à des parties non autorisées – Vous devez vous assurer que les adresses IP privées sont divulguées, sinon un pirate peut découvrir quelle est l’adresse IP et accéder à votre réseau. Exigez que tous les utilisateurs se connectent, en veillant à ce que la divulgation soit autorisée par un administrateur à chaque endroit, et vous devriez interdire les protocoles de routage et les publicités.

Un logiciel pare-feu personnel doit être installé sur tous les appareils et mobiles appartenant aux employés qui se connectent à l’Internet lorsqu’ils sont utilisés pour accéder au réseau ou en dehors du réseau.

Comprendre cette exigence :

Un pare-feu personnel est nécessaire pour protéger les mobiles et les appareils appartenant aux employés contre une attaque basée sur Internet. Il s’agit d’un impératif, car ces appareils sont plus exposés aux violations parce qu’ils se trouvent en dehors du pare-feu de l’entreprise et deviennent donc des cibles de choix pour les pirates. Par conséquent, si vos employés utilisent leurs ordinateurs portables à des fins professionnelles et se connectent lorsqu’ils sont en dehors du réseau, il vous incombe de vous assurer qu’ils ont installé un logiciel pare-feu personnel.

Les procédures opérationnelles et les politiques de sécurité pour la gestion des pare-feu doivent être documentées et connues de toutes les parties concernées.

Comprendre cette exigence :

Pour continuer à empêcher les accès non autorisés au réseau, vous devez gérer les politiques et les procédures en place en ce qui concerne les pare-feu et les routeurs, en veillant à ce qu’elles soient bien documentées et mises à jour.

Exigence PCI DSS – Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et les paramètres de sécurité supplémentaires.

Pour être conforme à la norme PCI DSS, la section deux stipule que vous devez modifier tous les paramètres par défaut fournis par le fournisseur, sans exception. Cela s’applique à tous les mots de passe par défaut, y compris ceux utilisés par les terminaux de point de vente (PoS), les comptes d’applications, les systèmes d’exploitation, et bien d’autres choses encore.

Qu’est-ce que PCI attend lorsqu’il s’agit d’éviter toutes les valeurs par défaut fournies par le fournisseur ?

Comme nous l’avons déjà brièvement évoqué, vous devez vous assurer que vous modifiez les valeurs par défaut fournies par le fournisseur, et vous devez désactiver ou supprimer tout compte par défaut non requis. Il n’y a pas d’exception à cette règle : chaque mot de passe et chaque paramètre de sécurité doit être modifié.

En ce qui concerne tous les environnements sans fil qui transmettent des informations sur les titulaires de cartes ou se connectent à l’environnement de données des titulaires de cartes (CDE), vous devez modifier tous les paramètres par défaut des fournisseurs sans fil lors de l’installation. Il s’agit notamment des chaînes communautaires SNMP par défaut, des mots de passe et des clés de cryptage sans fil.

Comprendre cette exigence :

Les paramètres par défaut sont souvent publiés et bien connus des communautés de hackers. Cela rend votre système plus vulnérable, car des personnes malveillantes pourraient facilement y accéder en utilisant des mots de passe, des noms de compte, des paramètres par défaut, etc. Par conséquent, en modifiant tous les paramètres par défaut, vous limitez efficacement l’accès.

Image result for pci dss

Il est essentiel de modifier tous les paramètres par défaut des fournisseurs de services sans fil, car si vous ne le faites pas, un cybercriminel pourrait facilement pénétrer dans votre réseau et l’attaquer. En effet, la plupart des réseaux sans fil sont mis en place sans configuration de sécurité adéquate, ce qui donne aux pirates la possibilité de capturer des données et des mots de passe en écoutant le trafic.

L’exigence suivante concerne l’élaboration de normes de configuration pour tous les composants de votre système. Toutes les vulnérabilités de sécurité connues doivent être prises en compte, et elles doivent être conformes aux normes de renforcement du système acceptées par l’industrie. Pour ce faire, vous devez suivre les étapes ci-dessous :

  1. Il ne doit y avoir qu’une seule fonction primaire mise en œuvre pour chaque serveur. Ceci est impératif pour garantir que des serveurs nécessitant des niveaux de sécurité différents ne coexistent pas sur le même serveur.
  2. Seuls les protocoles et services nécessaires au fonctionnement du système doivent être activés.
  3. Pour tous les protocoles ou services requis qui sont considérés comme non sécurisés, vous devez mettre en œuvre des fonctions de sécurité supplémentaires.
  4. Empêcher toute utilisation abusive grâce à la configuration des paramètres de sécurité du système.
  5. Les fonctionnalités inutiles doivent être supprimées, notamment les serveurs web, les systèmes de fichiers, les sous-systèmes, les fonctionnalités, les pilotes et les scripts inutiles.

Comprendre cette exigence :

PCI a mis en place cette exigence pour combattre les nombreuses faiblesses connues des applications d’entreprise, des bases de données et des systèmes d’exploitation. S’il existe des vulnérabilités, il existe aussi des moyens de les corriger. Les étapes a-e sont fournies pour que votre entreprise puisse remédier aux faiblesses de votre système.

Examinons donc les cinq points mentionnés ici :

  1. Mettez en œuvre une seule fonction principale par serveur – Si vous avez deux fonctions serveur, et qu’elles sont situées sur le même serveur mais nécessitent des niveaux de sécurité différents, l’une des fonctions serveur sera compromise. En effet, les besoins des fonctions de haute sécurité seront réduits du fait de la présence des fonctions de basse sécurité.
  2. N’activez que les protocoles et services nécessaires – De nombreux protocoles offrent aux initiés malveillants un moyen facile de compromettre un réseau. Par conséquent, PCI a mis en place cette exigence afin de s’assurer que les entreprises n’activent que les protocoles et services nécessaires pour réduire le risque d’attaque.
  3. Mettre en œuvre des fonctions de sécurité supplémentaires pour les protocoles et services non sécurisés – Si vous activez des systèmes de sécurité avant le déploiement de nouveaux serveurs, vous pouvez vous assurer qu’ils ne sont pas installés dans un environnement aux configurations non sécurisées. Les fonctions de sécurité supplémentaires réduiront également les risques de violation, car les pirates ne pourront pas exploiter les points de compromission les plus courants du réseau.
  4. Configurer les paramètres de sécurité du système – Il s’agit d’un élément essentiel pour éviter les abus, et vous pouvez y parvenir grâce à diverses méthodes, notamment l’autorisation basée sur les rôles, les règles de pare-feu basées sur des modèles et les journaux d’audit sécurisés.
  5. Suppression des fonctionnalités inutiles – Cette exigence permet de s’assurer que les personnes malveillantes n’ont pas de possibilités supplémentaires de compromettre votre système.

Vous devez utiliser une cryptographie forte pour chiffrer tous les accès administratifs non-consoles.

Comprendre cette exigence :

Sans communications cryptées et authentification sécurisée, un pirate pourrait facilement voler des informations dans le but d’accéder au réseau, de devenir administrateur et, finalement, de voler des données.

Cette étape vous oblige à tenir un inventaire des composants du système. Cet inventaire doit inclure tous les composants qui font partie du champ d’application de la norme PCI DSS.

Comprendre cette exigence :

Si vous ne respectez pas cette exigence, vous risquez d’oublier des composants du système et, par conséquent, de les exclure de vos normes de configuration.

Documentez toutes les procédures opérationnelles et les politiques de sécurité pour la gestion des valeurs par défaut des fournisseurs, ainsi que d’autres paramètres de sécurité.

Comprendre cette exigence :

L’étape cinq a été conçue pour prévenir les configurations non sécurisées en veillant à ce que tout le personnel respecte les procédures d’exploitation quotidiennes et les politiques de sécurité en place.

Les fournisseurs d’hébergement partagé doivent protéger les données des titulaires de cartes et l’environnement hébergé de chaque entité.

Comprendre cette exigence :

Si plusieurs clients sont hébergés sur le même serveur via un fournisseur d’hébergement, un client peut compromettre les données d’un autre en ajoutant des scripts et des fonctions non sécurisés. Cette exigence vise à lutter contre ce phénomène.

Exigence PCI DSS – La transmission des données des titulaires de cartes doit être cryptée sur tous les réseaux ouverts et publics.

Cette section des exigences PCI DSS est conçue pour garantir que vous disposez de contrôles de cryptage solides à chaque fois que des données de titulaires de cartes sont transmises. Il s’agit d’empêcher les cybercriminels d’intercepter ou de détourner les données lorsqu’elles sont en transit.

Pour protéger les données des titulaires de cartes lorsqu’elles transitent sur des réseaux ouverts et publics, vous devez utiliser des protocoles de sécurité et une cryptographie puissante. Les communications par satellite, les technologies sans fil et l’Internet sont des exemples courants de réseaux ouverts et publics.

En outre, pour garantir la mise en œuvre d’un cryptage fort pour la transmission et l’authentification, vous devez utiliser les meilleures pratiques du secteur lorsque les réseaux sans fil sont connectés à l’environnement de données des titulaires de cartes (CDE) ou transmettent des données de titulaires de cartes.

Comprendre cette exigence :

Cette exigence est impérative car les données transmises sur des réseaux ouverts et publics sont vulnérables à l’interception par des personnes malveillantes.

La deuxième partie de l’étape 1, concernant les réseaux sans fil, est essentielle car les cybercriminels écoutent souvent les communications sans fil via des outils gratuits et largement disponibles. En utilisant les meilleures pratiques du secteur, vous pouvez empêcher que cela ne se produise.

Vous ne devez jamais utiliser les technologies de messagerie de l’utilisateur final pour envoyer des PAN non protégés . La messagerie instantanée et le courrier électronique sont de parfaits exemples de technologies de messagerie pour les utilisateurs finaux.

Comprendre cette exigence :

Cette exigence a été mise en place parce que les technologies de messagerie de l’utilisateur final peuvent être interceptées facilement. Vous devez simplement vous assurer que vous n’utilisez pas ces outils lors de l’envoi de PAN.

Documentez toutes les procédures opérationnelles et les politiques de sécurité pour le cryptage des transmissions des données des titulaires de cartes. Veillez à ce que ces procédures et politiques soient connues de tous ceux qui sont concernés par elles.

Comprendre cette exigence :

Cette exigence est impérative pour assurer une gestion efficace et continue de la transmission sécurisée des données des titulaires de cartes.

Exigence PCI DSS – Développer et maintenir des applications et des systèmes sécurisés

La conformité à la norme PCI DSS est un processus continu, et cette exigence implique le développement et la maintenance d’applications et de systèmes sécurisés. Le but est de s’assurer que vous êtes tenu au courant de toutes les vulnérabilités qui pourraient avoir un impact sur votre environnement et poser des problèmes potentiels. Des contrôles de sécurité aux mises à jour, il existe de nombreuses façons de remplir vos obligations.

La première étape pour satisfaire à cette exigence de la norme PCI DSS consiste à mettre en place des processus d’identification des failles de sécurité . Pour ce faire, un système de classement des risques doit être mis en place pour toute vulnérabilité nouvellement découverte, en fonction de votre stratégie d’évaluation des risques et de votre environnement.

Comprendre cette exigence :

Cette exigence a été établie parce que votre organisation sera ouverte à de nouvelles vulnérabilités si vous ne vous tenez pas au courant de tous les risques potentiels. Effectuez des contrôles hebdomadaires des services de sécurité afin de vous assurer que toute nouvelle vulnérabilité est détectée immédiatement.

Installez les correctifs de sécurité fournis par le fournisseur pour protéger tous les logiciels et systèmes contre les vulnérabilités connues.

Comprendre cette exigence :

L’une des plus grandes menaces pour les entreprises est le flux continu d’attaques utilisant des exploits qui sont largement publiés. La deuxième étape est donc conçue pour éviter que des personnes malveillantes ne profitent de ces exploits pour désactiver ou attaquer votre système. L’utilisation des correctifs de sécurité les plus récents permet de lutter contre toutes les vulnérabilités connues.

Toutes les applications logicielles externes et internes doivent être développées de manière sécurisée. Cette exigence est décomposée en plusieurs étapes.

  1. Avant que les applications ne soient mises à la disposition des clients ou ne deviennent actives, vous devez supprimer les mots de passe, les ID utilisateur, les comptes d’applications personnalisées, les comptes d’applications de développement et les comptes d’applications de test.
  2. Avant la publication, examinez le code personnalisé afin d’identifier les éventuelles vulnérabilités de codage.

Comprendre cette exigence :

Cette exigence a été mise en place car des vulnérabilités de sécurité peuvent être introduites par malveillance ou par inadvertance si la sécurité n’est pas incluse dans les phases de définition des exigences, de conception, d’analyse et de test du développement logiciel. Examinons plus en détail les étapes “a” et “b” ci-dessous.

  • Supprimez les mots de passe, les identifiants, les comptes d’applications personnalisées, les comptes d’applications de développement et les comptes d’applications de test – Ces éléments doivent être supprimés afin de ne pas divulguer les informations relatives au fonctionnement de l’application.
  • Examiner le code personnalisé pour identifier les éventuelles vulnérabilités de codage – Cette étape est importante car les personnes malveillantes exploitent souvent les failles de sécurité du code personnalisé afin d’accéder à un réseau et de compromettre des données.

Lorsque des modifications sont apportées aux composants du système, vous devez suivre les procédures et les processus de contrôle des modifications, qui sont décrits dans les étapes ci-dessous :

  1. Des contrôles d’accès doivent être utilisés pour séparer les environnements de test/développement des environnements de production.
  2. Les tâches doivent être séparées entre les environnements de produits et les environnements de test/développement.
  3. Vous ne devez pas utiliser des données PAN/production en direct pour le développement ou les tests.
  4. Avant que les systèmes de production ne deviennent actifs, vous devez supprimer les comptes et les données de test.
  5. Pour les modifications de logiciels et la mise en œuvre de correctifs de sécurité, vous devez modifier les procédures de contrôle. Voir ci-dessous :
    1. Impact des documents.
    2. Documenter l’approbation du changement par les parties autorisées.
    3. Vérifier que le changement n’aura pas d’effet négatif sur la sécurité du système en effectuant des tests de fonctionnalité.
    4. Procédures de secours.

Comprendre cette exigence :

Cette partie de la conformité PCI est impérative car tout ce qui suit peut se produire si les contrôles des modifications ne sont pas mis en œuvre et documentés correctement – un code malveillant peut être introduit, des irrégularités de traitement peuvent apparaître et les fonctions de sécurité peuvent être rendues inopérantes, délibérément omises ou omises par inadvertance. Examinons plus en détail les étapes mentionnées ci-dessus :

    1. Séparer les environnements de test/développement des environnements de production – Cette mesure est nécessaire car les environnements de développement et de test ne sont généralement pas aussi sûrs que les environnements de protection.
    2. Séparer les tâches entre les environnements de production et les environnements de test/développement – Cette étape minimisera les risques car l’accès au CDE et à l’environnement de production sera restreint.
    3. N’utilisez pas de PAN/de données de production en direct pour le développement ou les tests – C’est un point crucial car les PAN en direct pourraient permettre aux cybercriminels de s’infiltrer, les contrôles de sécurité n’ayant pas tendance à être aussi rigoureux dans les environnements de développement ou de test.
    4. Avant que les systèmes de production ne deviennent actifs, supprimez les comptes et les données de test – Si vous ne supprimez pas les données et les comptes de test, vous risquez de donner des informations sur le fonctionnement de l’application ou du système.
    5. Pour les modifications de logiciels et la mise en œuvre de correctifs de sécurité, vous devez modifier les procédures de contrôle – Des problèmes de sécurité peuvent survenir lorsque les correctifs de sécurité et les modifications de logiciels ne sont pas gérés correctement.

Partager

S’abonner

Pour les dernières recherches et informations authentiques sur les meilleurs hébergeurs pour votre site web !

Article suivant

Articles connexes :