PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -fr.pptx
1. Norme de sécurité des données
de l’industrie des cartes de paiement (PCI)
1
2. 12 normes sur six domaines
Construire et maintenir un réseau sécurisé(2)
Protéger les données des titulaires de carte(2)
Maintenir un programme de gestion des
vulnérabilités(2)
Mettre en œuvre de solides mesures de contrôle
d’accès(3)
Surveiller et tester régulièrement les réseaux(2)
Maintenir une politique de sécurité de l’information(1)
2
3. 1) Établir et maintenir un réseau
sécurisé
Installer et maintenir une configuration de pare-feu
pour protéger les données des titulaires de carte
Établir des normes de configuration de pare-feu
Processus de test des connexions externes et des modifications apportées
au pare-feu
Schéma de réseau avec toutes les connexions aux données du titulaire de
carte
Documenter tous les services et ports nécessaires aux affaires
Justifier tout protocole autre que Http, Https, VPN
Justification des protocoles à risque tels que FTP, des raisons
d’utilisation et des mesures de sécurité mises en œuvre pour les traiter
Examen trimestriel des ensembles de règles de pare-feu et de routeur
Normes de configuration pour les routeurs
3
4. Créer une configuration de pare-feu qui refuse tout le
trafic des réseaux et hôtes non approuvés, à l’exception
des protocoles nécessaires à l’environnement de données
du titulaire de la carte
4
5. Configuration du pare-feu limitant les connexions entre
les serveurs accessibles au public et tout composant
système stockant les données du titulaire de carte
Restreindre le trafic entrant et sortant à ce qui est nécessaire
pour l’environnement de données des titulaires de carte
Refuser tout autre trafic entrant et sortant
5
6. Ne pas utiliser les valeurs par défaut fournies par le
fournisseur pour les mots de passe du système et les
autres paramètres de sécurité
Élaborer des normes de configuration pour les composants
S’assurer que les normes répondent à toutes les vulnérabilités
de sécurité connues et sont conformes aux normes de
renforcement des systèmes acceptées par l’industrie
Les fournisseurs d’hébergement doivent protéger
l’environnement et les données hébergés de chaque entité
Se conformer à PCI DSS pour les fournisseurs d’hébergement
6
7. 2) Protéger les données des titulaires de carte
Protéger les données du titulaire de la carte
Garder le stockage des titulaires de carte à un
minimum
Politique de conservation des données
Seulement le temps nécessaire pour
Affaires
Juridique et/ou
Fins réglementaires
Ne stockez pas de données d’authentification
sensibles après l’autorisation, même si elles sont
cryptées
Ne stockez pas le contenu complet d’une piste de bande
magnétique
7
9. Masque PAN lorsqu’il s’affiche
Les six premiers ou les quatre derniers sont le maximum
Protéger les clés de chiffrement utilisées pour le
chiffrement des données du titulaire de carte
Restreindre l’accès aux clés
Stockage sécurisé des clés
9
10. Chiffrer la transmission des données des titulaires de
carte sur des réseaux publics ouverts
Utiliser de solides protocoles de cryptologie et de sécurité
Pour le sans fil, utilisez WPA ou WPA2
Si vous devez utiliser WEP, des mesures de sécurité supplémentaires
sont nécessaires, telles que le cryptage minimum de 104 bits, la
restriction de la base d’accès sur l’adresse MAC
N’envoyez jamais de PAC non chiffrés par courriel
10
11. 3) Maintenir un programme de
gestion des vulnérabilités
Utiliser et mettre à jour régulièrement les logiciels
antivirus
Déploiement sur tous les systèmes généralement affectés par
des virus (en particulier les ordinateurs personnels et les
serveurs)
11
12. Développer et maintenir des systèmes et des applications
sécurisés
Derniers correctifs installés
Développer des applications logicielles basées sur les meilleures
pratiques de l’industrie
Procédures de contrôle des changements
12
13. 4) Mettre en œuvre de solides mesures de
contrôle d’accès
Restreindre l’accès aux données des titulaires de carte en
fonction des besoins de l’entreprise
Attribuer un identifiant unique à chaque personne ayant
accès à un ordinateur
Gestion de compte
Restreindre l’accès physique aux données des titulaires de
carte
13
14. 5) Surveiller et tester régulièrement les
réseaux
Suivre et surveiller tous les accès aux
ressources du réseau et aux données des
titulaires de carte
Pistes d’évaluation automatisées
Tester régulièrement les systèmes et processus
de sécurité
Tester régulièrement les contrôles
Exécuter des analyses de vulnérabilité internes et
externes
Test de pénétration au moins une fois par an
14
15. 6) Maintenir une politique de sécurité
de l’information
Maintenir une politique qui traite de la sécurité de l’information pour
les employés et les entrepreneurs
Documenter, maintenir et diffuser
Veiller à ce que les politiques définissent clairement les responsabilités en
matière de sécurité pour tous les employés et entrepreneurs
Établir un programme officiel de sensibilisation à la sécurité
Filtrer les employés potentiels
Mettre en place une équipe d’intervention en cas d’incident
15