SlideShare une entreprise Scribd logo

PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -fr.pptx

Télécharger en tant que PPTX, PDF
F
Fatimsall

PCI DSS Norme de sécurité des données de l’industrie des cartes de paiement

Internet
1  sur  15
Norme de sécurité des données de l’industrie des cartes de paiement (PCI) 1
12 normes sur six domaines  Construire et maintenir un réseau sécurisé(2)  Protéger les données des titulaires de carte(2)  Maintenir un programme de gestion des vulnérabilités(2)  Mettre en œuvre de solides mesures de contrôle d’accès(3)  Surveiller et tester régulièrement les réseaux(2)  Maintenir une politique de sécurité de l’information(1) 2
1) Établir et maintenir un réseau sécurisé  Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte  Établir des normes de configuration de pare-feu  Processus de test des connexions externes et des modifications apportées au pare-feu  Schéma de réseau avec toutes les connexions aux données du titulaire de carte  Documenter tous les services et ports nécessaires aux affaires  Justifier tout protocole autre que Http, Https, VPN  Justification des protocoles à risque tels que FTP, des raisons d’utilisation et des mesures de sécurité mises en œuvre pour les traiter  Examen trimestriel des ensembles de règles de pare-feu et de routeur  Normes de configuration pour les routeurs 3
 Créer une configuration de pare-feu qui refuse tout le trafic des réseaux et hôtes non approuvés, à l’exception des protocoles nécessaires à l’environnement de données du titulaire de la carte 4
 Configuration du pare-feu limitant les connexions entre les serveurs accessibles au public et tout composant système stockant les données du titulaire de carte  Restreindre le trafic entrant et sortant à ce qui est nécessaire pour l’environnement de données des titulaires de carte  Refuser tout autre trafic entrant et sortant 5
 Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe du système et les autres paramètres de sécurité  Élaborer des normes de configuration pour les composants  S’assurer que les normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes de renforcement des systèmes acceptées par l’industrie  Les fournisseurs d’hébergement doivent protéger l’environnement et les données hébergés de chaque entité  Se conformer à PCI DSS pour les fournisseurs d’hébergement 6
2) Protéger les données des titulaires de carte  Protéger les données du titulaire de la carte  Garder le stockage des titulaires de carte à un minimum  Politique de conservation des données  Seulement le temps nécessaire pour  Affaires  Juridique et/ou  Fins réglementaires  Ne stockez pas de données d’authentification sensibles après l’autorisation, même si elles sont cryptées  Ne stockez pas le contenu complet d’une piste de bande magnétique 7
Éléments couramment utilisés du titulaire de carte et données d’authentification sensibles 8
 Masque PAN lorsqu’il s’affiche  Les six premiers ou les quatre derniers sont le maximum  Protéger les clés de chiffrement utilisées pour le chiffrement des données du titulaire de carte  Restreindre l’accès aux clés  Stockage sécurisé des clés 9
 Chiffrer la transmission des données des titulaires de carte sur des réseaux publics ouverts  Utiliser de solides protocoles de cryptologie et de sécurité  Pour le sans fil, utilisez WPA ou WPA2  Si vous devez utiliser WEP, des mesures de sécurité supplémentaires sont nécessaires, telles que le cryptage minimum de 104 bits, la restriction de la base d’accès sur l’adresse MAC  N’envoyez jamais de PAC non chiffrés par courriel 10
3) Maintenir un programme de gestion des vulnérabilités  Utiliser et mettre à jour régulièrement les logiciels antivirus  Déploiement sur tous les systèmes généralement affectés par des virus (en particulier les ordinateurs personnels et les serveurs) 11
 Développer et maintenir des systèmes et des applications sécurisés  Derniers correctifs installés  Développer des applications logicielles basées sur les meilleures pratiques de l’industrie  Procédures de contrôle des changements 12
4) Mettre en œuvre de solides mesures de contrôle d’accès  Restreindre l’accès aux données des titulaires de carte en fonction des besoins de l’entreprise  Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur  Gestion de compte  Restreindre l’accès physique aux données des titulaires de carte 13
5) Surveiller et tester régulièrement les réseaux  Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte  Pistes d’évaluation automatisées  Tester régulièrement les systèmes et processus de sécurité  Tester régulièrement les contrôles  Exécuter des analyses de vulnérabilité internes et externes  Test de pénétration au moins une fois par an 14
6) Maintenir une politique de sécurité de l’information  Maintenir une politique qui traite de la sécurité de l’information pour les employés et les entrepreneurs  Documenter, maintenir et diffuser  Veiller à ce que les politiques définissent clairement les responsabilités en matière de sécurité pour tous les employés et entrepreneurs  Établir un programme officiel de sensibilisation à la sécurité  Filtrer les employés potentiels  Mettre en place une équipe d’intervention en cas d’incident 15

Recommandé

French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?Djallal BOUABDALLAH
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational_France
 
Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI Madiha Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI MadihaHarifi Madiha
 
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 

Recommandé

French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfControlCase
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?PCI DSS - SSC ... C'est Quoi ?
PCI DSS - SSC ... C'est Quoi ?Djallal BOUABDALLAH
 
Rational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational France - Livre blanc - Construire la conformité de l’intérieur
Rational France - Livre blanc - Construire la conformité de l’intérieurRational_France
 
Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI Madiha Présentation NAC-NAP PPT HARIFI Madiha
Présentation NAC-NAP PPT HARIFI MadihaHarifi Madiha
 
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2☁️Seyfallah Tagrerout☁ [MVP]
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
refnl2014
refnl2014refnl2014
refnl2014Romuald Dussart
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...CERTyou Formation
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
RADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxRADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxZokomElie
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
isa serveur
isa serveurisa serveur
isa serveurYoussefAddi2
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdfsirinejlassi1
 
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisationDw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisationCERTyou Formation
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemCERTyou Formation
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des donnéesMicrosoft Technet France
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceCERTyou Formation
 

Contenu connexe

Similaire à PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -fr.pptx

Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2☁️Seyfallah Tagrerout☁ [MVP]
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...CERTyou Formation
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
RADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxRADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxZokomElie
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisationDw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisationCERTyou Formation
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemCERTyou Formation
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceCERTyou Formation
 

Similaire à PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -fr.pptx (20)

Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
refnl2014
refnl2014refnl2014
refnl2014
 
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
M10035 formation-comprendre-les-technologies-d-infrastructure-reseau-et-de-pl...
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
 
RADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxRADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptx
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
isa serveur
isa serveurisa serveur
isa serveur
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisationDw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
Dw502 g formation-ibm-puredata-system-for-analytics-usages-et-utilisation
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
 

PCI DSS_Norme de sécurité des données de l’industrie des cartes de paiement -fr.pptx

  • 1. Norme de sécurité des données de l’industrie des cartes de paiement (PCI) 1
  • 2. 12 normes sur six domaines  Construire et maintenir un réseau sécurisé(2)  Protéger les données des titulaires de carte(2)  Maintenir un programme de gestion des vulnérabilités(2)  Mettre en œuvre de solides mesures de contrôle d’accès(3)  Surveiller et tester régulièrement les réseaux(2)  Maintenir une politique de sécurité de l’information(1) 2
  • 3. 1) Établir et maintenir un réseau sécurisé  Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte  Établir des normes de configuration de pare-feu  Processus de test des connexions externes et des modifications apportées au pare-feu  Schéma de réseau avec toutes les connexions aux données du titulaire de carte  Documenter tous les services et ports nécessaires aux affaires  Justifier tout protocole autre que Http, Https, VPN  Justification des protocoles à risque tels que FTP, des raisons d’utilisation et des mesures de sécurité mises en œuvre pour les traiter  Examen trimestriel des ensembles de règles de pare-feu et de routeur  Normes de configuration pour les routeurs 3
  • 4.  Créer une configuration de pare-feu qui refuse tout le trafic des réseaux et hôtes non approuvés, à l’exception des protocoles nécessaires à l’environnement de données du titulaire de la carte 4
  • 5.  Configuration du pare-feu limitant les connexions entre les serveurs accessibles au public et tout composant système stockant les données du titulaire de carte  Restreindre le trafic entrant et sortant à ce qui est nécessaire pour l’environnement de données des titulaires de carte  Refuser tout autre trafic entrant et sortant 5
  • 6.  Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe du système et les autres paramètres de sécurité  Élaborer des normes de configuration pour les composants  S’assurer que les normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes de renforcement des systèmes acceptées par l’industrie  Les fournisseurs d’hébergement doivent protéger l’environnement et les données hébergés de chaque entité  Se conformer à PCI DSS pour les fournisseurs d’hébergement 6
  • 7. 2) Protéger les données des titulaires de carte  Protéger les données du titulaire de la carte  Garder le stockage des titulaires de carte à un minimum  Politique de conservation des données  Seulement le temps nécessaire pour  Affaires  Juridique et/ou  Fins réglementaires  Ne stockez pas de données d’authentification sensibles après l’autorisation, même si elles sont cryptées  Ne stockez pas le contenu complet d’une piste de bande magnétique 7
  • 8. Éléments couramment utilisés du titulaire de carte et données d’authentification sensibles 8
  • 9.  Masque PAN lorsqu’il s’affiche  Les six premiers ou les quatre derniers sont le maximum  Protéger les clés de chiffrement utilisées pour le chiffrement des données du titulaire de carte  Restreindre l’accès aux clés  Stockage sécurisé des clés 9
  • 10.  Chiffrer la transmission des données des titulaires de carte sur des réseaux publics ouverts  Utiliser de solides protocoles de cryptologie et de sécurité  Pour le sans fil, utilisez WPA ou WPA2  Si vous devez utiliser WEP, des mesures de sécurité supplémentaires sont nécessaires, telles que le cryptage minimum de 104 bits, la restriction de la base d’accès sur l’adresse MAC  N’envoyez jamais de PAC non chiffrés par courriel 10
  • 11. 3) Maintenir un programme de gestion des vulnérabilités  Utiliser et mettre à jour régulièrement les logiciels antivirus  Déploiement sur tous les systèmes généralement affectés par des virus (en particulier les ordinateurs personnels et les serveurs) 11
  • 12.  Développer et maintenir des systèmes et des applications sécurisés  Derniers correctifs installés  Développer des applications logicielles basées sur les meilleures pratiques de l’industrie  Procédures de contrôle des changements 12
  • 13. 4) Mettre en œuvre de solides mesures de contrôle d’accès  Restreindre l’accès aux données des titulaires de carte en fonction des besoins de l’entreprise  Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur  Gestion de compte  Restreindre l’accès physique aux données des titulaires de carte 13
  • 14. 5) Surveiller et tester régulièrement les réseaux  Suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte  Pistes d’évaluation automatisées  Tester régulièrement les systèmes et processus de sécurité  Tester régulièrement les contrôles  Exécuter des analyses de vulnérabilité internes et externes  Test de pénétration au moins une fois par an 14
  • 15. 6) Maintenir une politique de sécurité de l’information  Maintenir une politique qui traite de la sécurité de l’information pour les employés et les entrepreneurs  Documenter, maintenir et diffuser  Veiller à ce que les politiques définissent clairement les responsabilités en matière de sécurité pour tous les employés et entrepreneurs  Établir un programme officiel de sensibilisation à la sécurité  Filtrer les employés potentiels  Mettre en place une équipe d’intervention en cas d’incident 15