Payment Card Industry (PCI) Normes en matière de sécurité des données - Procédures d'audit de sécurité Version 1.1 - PCI Security Standards Council
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Payment Card Industry (PCI)
Normes en matière de sécurité des données
Procédures d’audit de sécurité
Version 1.1
Date de publication : septembre 2006Table des matières
Procédures d’audit de sécurité ...................................................................................................................................................................................................... 1
Version 1.1 ..................................................................................................................................................................................................................................... 1
Table des matières ................................................................................................................................................................................................................. 2
Introduction .................................................................................................................................................................................................................................... 3
Informations relatives aux conditions d’application des Normes PCI DSS ................................................................................................................................... 4
Périmètre du contrôle de conformité aux Normes PCI DSS.......................................................................................................................................................... 5
Sans fil .................................................................................................................................................................................................................................... 6
Externalisation ........................................................................................................................................................................................................................ 6
Échantillon .............................................................................................................................................................................................................................. 6
Contrôles correctifs ................................................................................................................................................................................................................. 7
Instructions et contenus afférents au Rapport sur la conformité ................................................................................................................................................... 7
Revalidation d’éléments ouverts .................................................................................................................................................................................................... 9
Mettre en place et gérer un réseau sécurisé ................................................................................................................................................................................. 9
1ère exigence : installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de carte ........................................................... 9
2ème exigence : ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres paramètres de sécurité du système ....... 14
Protéger les données des titulaires de carte ............................................................................................................................................................................... 18
3ème exigence : protéger les données des titulaires de carte en stock ................................................................................................................................. 18
4ème exigence : crypter la transmission des données des titulaires de carte sur les réseaux publics ouverts ..................................................................... 26
Disposer d’un programme de gestion de la vulnérabilité............................................................................................................................................................. 29
5ème exigence : utiliser et mettre à jour régulièrement un logiciel ou des programmes antivirus ......................................................................................... 29
6ème exigence : développer et gérer des applications et ses systèmes sécurisés ............................................................................................................... 30
Mettre en œuvre des mesures de contrôle d'accès efficaces ..................................................................................................................................................... 36
7ème exigence : limiter l’accès aux données des porteurs de carte aux cas de nécessité professionnelle absolue ............................................................ 36
8ème exigence : attribuer une identité d’utilisateur unique à chaque personne disposant d’un accès informatique. ............................................................ 37
9ème exigence : limiter l’accès physique aux données des titulaires de carte. ..................................................................................................................... 43
Surveiller et tester régulièrement les réseaux ............................................................................................................................................................................. 47
11ème exigence : tester régulièrement les systèmes et procédures de sécurité ................................................................................................................... 51
Disposer d’une politique en matière de sécurité de l’information ................................................................................................................................................ 53
12ème exigence : disposer d’une politique prenant en compte la sécurité de l’information pour les employés et sous-traitants ......................................... 53
Annexe A : conditions d’application des Normes PCI DSS pour les fournisseurs d’hébergement (avec les Procédures de test) ............................................. 61
Exigence A.1 : les fournisseurs d’hébergement protègent l’environnement des données de titulaire de carte ................................................................... 61
Annexe B – Contrôles correctifs .................................................................................................................................................................................................. 65
Contrôles correctifs – Dispositions générales ...................................................................................................................................................................... 65
Contrôles correctifs afférents à l’Exigence 3.4. .................................................................................................................................................................... 65
Annexe C : Feuille de travail de contrôle correctif/exemple complété ......................................................................................................................................... 66
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 2Introduction
Les Procédures d’audit de sécurité de PCI sont destinées à être utilisées par des évaluateurs procédant à des vérifications
sur site pour des commerçants et des prestataires de services nécessaires pour valider la conformité aux exigences des
Normes de Payment Card Industry (PCI) en matière de sécurité des données (Data Security Standard, DSS). Les
exigences et les procédures de vérification présentées dans ce document sont fondées sur les Normes PCI DSSDSS.
Ce document comporte les éléments suivants :
• Introduction
• Informations relatives aux conditions d’application des Normes PCI DSS
• Périmètre du contrôle de conformité aux Normes PCI DSS
• Instructions et contenus afférents au Rapport sur la conformité
• Revalidation d’éléments ouverts
• Procédures d’audit de sécurité
ANNEXES
• Annexe A : conditions d’application des Normes PCI DSS pour les fournisseurs d’hébergement (avec les
Procédures de test)
• Annexe B : Contrôles correctifs
• Annexe C : Feuille de travail de contrôle correctif/exemple complété
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 3Informations relatives aux conditions d’application des Normes PCI DSS
Le tableau ci-dessous présente un certain nombre d’éléments communément utilisés des données de titulaire de carte et
d’authentification sensibles, indique si le stockage de chaque élément de données est autorisé ou interdit et précise si
chaque élément de données doit être protégé. Ce tableau n’est pas exhaustif, mais il est présenté de manière à illustrer
les divers types d’exigences qui s’appliquent à chaque élément de données.
Élément de EXIG. PCI
Stockage Protection DSS
données
autorisé requise 3.4
Primary Account
Données titulaire de carte de crédit OUI OUI OUI
Number (PAN)
Nom du titulaire de carte de crédit*
OUI OUI* NON
Code service* OUI OUI* NON
Date d’expiration*
OUI OUI* NON
Bande magnétique entière
Données d’authentification sensibles** NON s.o. s.o.
CVC2/CVV2/CID NON s.o. s.o.
Bloc PIN/PIN NON s.o. s.o.
* Ces éléments de données doivent être protégés s’ils sont stockés conjointement avec le PAN. Cette protection doit être conforme aux exigences PCI DSS en liaison
avec la protection générale de l’environnement des titulaires de carte. En outre, d’autres lois (par exemple, relatives à la protection des données personnelles des
consommateurs, de vie privée, de vol d'identité ou de sécurité des données) peuvent imposer une protection spécifique de ces données, ou une divulgation adéquate des
pratiques de la société dès lors que des données à caractère personnel sont collectées dans le cadre de l’activité. Toutefois, les Normes PCI DSS ne s'appliquent pas si
des PAN ne sont pas stockés, traités ou transmis.
** Aucune donnée d’authentification sensible ne doit être stockée après autorisation (même cryptée).
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 4Périmètre du contrôle de conformité aux Normes PCI DSS
Ces exigences de sécurité des Normes PCI DSS s'appliquent à l'ensemble des « composantes du système ». Ces
composantes sont définies comme toute composante réseau, tout serveur ou toute application, inclus dans l’environnement
de données du titulaire de carte, ou connecté à celui-ci. L’environnement de données du titulaire de carte est la partie du
réseau qui possède des données de titulaires de carte ou des données d’authentification sensibles. Au nombre des
composantes de réseau figurent notamment les pare-feux, commutateurs, routeurs, points d'accès sans fil, appareils de
réseau et autres dispositifs de sécurité. Les divers types de serveur incluent notamment les suivants : Internet, base de
données, authentification, courrier, mandataire, network time protocol (NTP) et serveur de nom de domaine (domain name
server, DNS). Les applications englobent l’ensemble des applications achetées et personnalisées, y compris internes et
externes (Internet).
Une segmentation adéquate du réseau, qui isole des systèmes stockant, traitant ou transmettant des données de titulaire
de carte du reste du réseau peut réduire le périmètre de l’environnement de données du titulaire de carte. Le vérificateur
doit s’assurer que la segmentation est adéquate et réduit le périmètre de vérification.
Un prestataire de services ou un commerçant peut avoir recours à un fournisseur tiers pour gérer des composantes telles
que des routeurs, pare-feux ou bases de données, la sécurité physique et/ou des serveurs. Le cas échéant, il est possible
que cela ait une incidence sur la sécurité de l’environnement des données de titulaire de carte. Les services pertinents du
fournisseur tiers doivent faire l'objet de vérifications, soit 1) lors de chacun des audits PCI des clients du fournisseur tiers;
soit 2) à l'occasion d'un audit PCI du fournisseur tiers lui-même.
En ce qui concerne les prestataires de services tenus de se soumettre à une vérification sur site annuelle, une validation de
conformité doit, sauf spécification contraire, être mise en œuvre pour tous systèmes sur lesquels des données de titulaire
de carte sont stockées, traitées ou transmises.
Dans le cas des commerçants tenus de se soumettre à une vérification annuelle sur site, la validation de conformité est
axée sur tout/tous système(s) ou composant(s) de système lié(s) à l’autorisation et au règlement sur le(s)quel(s) des
données de titulaire de carte sont stockées, traitées ou transmises, y compris les suivants :
• toutes connexions externes au réseau commercial (par exemple : un accès distant destiné aux employés; une société
de carte de paiement; un accès de tiers aux fins de traitement et de maintenance);
• toutes les connexions à, et depuis l’environnement d’autorisation et de règlement (par exemple : les connexions pour
l’accès employé ou des dispositifs comme des pare-feux et des routeurs);
• tous entrepôts de données hors de l’environnement d’autorisation et de règlement stockant plus de 500 000 numéros
de compte. Remarque : même si certains entrepôts de données ou systèmes sont exclus de la vérification, il incombe
au commerçant de s'assurer que tous systèmes stockant, traitant ou transmettant des données de titulaire de carte sont
conformes aux Normes PCI DSS;
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 5• l’environnement de point de vente (point-of-sale, POS) : le lieu où une transaction est acceptée, dans un point de vente
commercial (c’est-à-dire, une boutique de détail, un restaurant, un établissement hôtelier, une station service, un
supermarché ou tout autre point de vente);
• en l’absence d’accès externe au site commercial (par Internet, accès sans fil, réseau privé virtuel (Virtual Private
Network, VPN), réseau commuté ou haut débit, ou machines accessibles publiquement, telles que des kiosques),
l'environnement de point de vente peut être exclu.
Sans fil
Si une technologie sans fil est utilisée pour stocker, traiter ou transmettre des données de titulaire de carte (par exemple,
des transactions de point de vente, ou l’enregistrement de données en situation de mobilité, dit « line-busting »), ou bien, si
un réseau local sans fil d’entreprise (Local Area Network, LAN) est connecté à, ou fait partie de l’environnement du titulaire
de carte (par exemple, parce qu’il n’est pas clairement séparé par un pare-feu), les Exigences et Procédures de test pour
les environnements sans fil s’appliquent et doivent également être mises en œuvre. La sécurité des réseaux sans fil n’est
pas encore parvenue à maturité, mais ces exigences spécifient que les fonctionnalités de base en matière de sécurité des
réseaux sans fil seront mises en œuvre dans le but d’assurer une protection minimale. Étant donné qu’il n’est pas encore
possible de sécuriser convenablement les technologies sans fil, avant qu’une technologie sans fil ne soit mise en place,
une société doit évaluer avec soin la technologie par rapport aux risques. Envisager le déploiement d’une technologie sans
fil uniquement pour la transmission de données non sensibles, ou dans l’attente du déploiement d'une technologie plus
sûre.
Externalisation
En ce qui concerne les entités qui externalisent le stockage, le traitement ou la transmission de données de titulaires de
carte à des prestataires de services tiers, le Rapport sur la conformité doit consigner par écrit le rôle de chacun des
prestataires. En outre, il incombe aux prestataires de services de valider leur propre conformité par rapport aux exigences
des Normes PCI DSS, indépendamment des audits auxquels sont soumis leurs clients. En outre, les commerçants et
prestataires de services doivent exiger par contrat que tous tiers associés ayant accès aux données de titulaire de carte se
conforment aux Normes PCI DSS. Pour plus de détails, se reporter à l’exigence 12.8 du présent document.
Échantillon
L’évaluateur peut sélectionner un échantillon représentatif de composants du système aux fins de tests. L’échantillon doit
être une sélection représentative de tous les types de composants du système et comporter une multiplicité de systèmes
d’exploitation, de fonctions et d’applications applicables au domaine soumis à examen. Le responsable des vérifications
pourrait par exemple choisir des serveurs Sun fonctionnant sous Apache WWW, des serveurs NT sous Oracle, des
systèmes principaux exécutant des applications existantes de traitement de carte, des serveurs de transfert de données
fonctionnant sous HP-UX, ainsi que des serveurs Linux sous MYSQL. Si toutes les applications fonctionnent à partir d’un
seul système d’exploitation (par exemple, NT, Sun), l’échantillon doit néanmoins comporter une multiplicité d’applications
(par exemple, des serveurs de base de données, serveurs Internet et serveurs de transfert de données).
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 6Lors de la sélection d’échantillons de boutiques de commerçants, ou pour les commerçants franchisés, les évaluateurs
doivent prendre en compte les éléments suivants :
• s'il existe des processus standards obligatoires en place, prévus par les Normes PCI DSS, auxquels chaque boutique doit
se conformer, l’échantillon peut être plus réduit que nécessaire en l’absence de processus standard, afin de démontrer
raisonnablement que chaque boutique est configurée conformément aux processus standard;
• si plus d’un type de processus standard est en place (par exemple, pour des types de boutiques différents), l'échantillon
doit être suffisamment important pour englober des boutiques sécurisées par chaque type de processus;
• en l'absence de processus standard prévus par les Normes PCI DSS, la taille de l’échantillon doit être plus importante pour
vérifier que chaque boutique comprend et met en œuvre les exigences des Normes PCI DSS de manière appropriée.
Contrôles correctifs
Les contrôles correctifs doivent être consignés par écrit par l’évaluateur et joints à la soumission du Rapport sur la
conformité, comme indiqué en Annexe C : Fiche de contrôle correctif/exemple achevé.
Pour une définition des « contrôles correctifs », voir le document Glossaire, abréviations et acronymes des Normes PCI
DSS.
Instructions et contenus afférents au Rapport sur la conformité
Ce document doit être utilisé par des évaluateurs comme modèle pour l'élaboration du Rapport sur la conformité. L’entité
faisant l’objet des vérifications doit se conformer aux exigences en matière de rapport de chaque société de carte de
paiement, pour faire en sorte que chaque société de carte de paiement reconnaisse la conformité de l’entité. Contacter
chaque société de carte de paiement pour déterminer les exigences et instructions de chaque société en matière de
rapport. Tous les évaluateurs doivent, pour établir un Rapport sur la conformité, se conformer aux instructions en matière
de contenu et de format.
1. Coordonnées et date du rapport
• Inclure les coordonnées du commerçant ou du prestataire de services, ainsi que celles de l'évaluateur
• Date du rapport
2. Sommaire exécutif
Inclure les éléments suivants :
• descriptif de l’activité;
• énumérer les prestataires de services et les autres entités avec lesquelles la société partage des données de titulaire de carte;
• énumérer les relations de l’entité de traitement;
• indiquer si une entité est directement connectée à une société de carte de paiement;
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 7• en ce qui concerne les commerçants, les produits de point de vente utilisés;
• toutes entités en propriété exclusive devant être en conformité avec les Normes PCI DSS;
• toutes entités internationales devant être en conformité avec les Normes PCI DSS;
• tous réseaux locaux sans fil d’entreprise (LAN) et/ou terminaux de point de vente sans fil connectés à l’environnement de carte de
données.
3. Description de l’objet des travaux et de l’approche adoptée
• Version du document relatif aux Procédures en matière d’audit de sécurité utilisées pour procéder à l’évaluation
• Période de l’évaluation
• Environnement sur lequel l’évaluation est axée (par exemple, les points d’accès Internet du client, le réseau interne d'entreprise, les
points de traitement de la société de carte de paiement)
• Tous les secteurs exclus de l’examen
• Une brève description, ou un schéma très général de la topologie et des commandes du réseau
• Une liste des personnes interrogées
• Une liste des pièces examinées
• Une liste des matériels et logiciels critiques (par exemple, base de données ou logiciel de chiffrement) utilisés
• Pour les vérifications concernant des fournisseurs de services gérés (Managed Service Provider, MSP), déterminer clairement
quelles exigences de ce document s'appliquent au MPS concerné (et sont pris en compte dans la vérification), et lesquels ne sont
pas inclus dans l'examen et qu'il incombe aux clients du MSP d’inclure dans leur audit. Inclure des informations concernant les
adresses IP du MSP faisant l’objet d’un balayage dans le cadre des balayages de vulnérabilité trimestriels du MSP et indiquer les
adresses Internet qu'il incombe aux clients du MSP d'inclure dans leurs propres balayages trimestriels
4. Résultats des balayages trimestriels
• Résumer les résultats des quatre balayages trimestriels les plus récents dans les commentaires à l’Exigence 11.2
• Le balayage doit couvrir toutes les adresses IP accessibles depuis l’extérieur (interface Internet) existantes de l’entité
5. Conclusions et observations
• Tous les évaluateurs doivent utiliser le modèle suivant pour présenter des descriptions et conclusions détaillées dans le
cadre du rapport, concernant chaque exigence ou partie d’une exigence
• Le cas échéant, consigner par écrit tous contrôles correctifs envisagés pour conclure qu'un contrôle est en place
• Pour une définition des « contrôles correctifs », voir le document Glossaire, abréviations et acronymes des Normes PCI
DSS.
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 8Revalidation d’éléments ouverts
Un rapport relatif aux « contrôles en place » est nécessaire pour vérifier la conformité. Si le rapport initial du vérificateur/de
l'évaluateur comporte des « éléments ouverts », le commerçant/prestataire de service doit prendre en compte ces
éléments avant que la validation ne soit achevée. L’évaluateur/le vérificateur procédera alors à une nouvelle évaluation
pour valider les mesures correctives mises en œuvre et certifier que toutes les exigences sont satisfaites. Après
revalidation, l’évaluateur établira un nouveau Rapport sur la conformité, vérifiant que le système est pleinement conforme
et le soumettra conformément aux instructions (voir ci-dessus).
Mettre en place et gérer un réseau sécurisé
1ère exigence : installer et gérer une configuration de pare-feu afin de protéger les données des titulaires de
carte
Les pare-feux sont des dispositifs informatiques qui contrôlent le trafic autorisé à entrer sur le réseau de la société, ou à en
sortir, ainsi que le trafic dans des secteurs plus sensibles du réseau interne d'une société. Un pare-feu vérifie la totalité du
trafic du réseau et bloque les transmissions non conformes aux critères de sécurité édictés.
Tous les systèmes doivent être protégés contre tout accès non autorisé par Internet, qu’il s’agisse d’accès au système aux
fins de commerce électronique, d’accès Internet par des employés, grâce au navigateur de leur poste de travail, ou d’accès
par le biais du courrier électronique des employés. Il arrive fréquemment que des chemins apparemment insignifiants, vers
et depuis l’Internet, puissent constituer des voies d’accès non protégées à des systèmes clés. Les pare-feux sont un
mécanisme de protection essentiel de tout réseau informatique.
PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
1.1 Mise en place de normes de 1.1 Obtenir et inspecter les normes de configuration de pare-
configuration de pare-feu incluant les feu et autres documents spécifiés ci-après afin de vérifier que
aspects suivants : les normes sont complètes. Répondre à chacun des points de
cette section.
1.1.1 Un processus formel 1.1.1 Vérifier que les normes de configuration de pare-feu
d’approbation et de test de toutes les comportent un processus formel pour toutes les
connexions externes de réseau, ainsi modifications de pare-feu, y compris des tests et
que de l’ensemble des modifications l'approbation, par la direction, de toutes modifications
apportées à la configuration du pare- apportées à la configuration des connexions externes et du
feu; logiciel pare-feu.
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 9PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
1.1.2 un diagramme du réseau à 1.1.2.a S'assurer qu'il existe un diagramme de réseau à jour
jour, avec toutes les connexions à et vérifier qu'il prend bien en compte toutes les connexions à
des données de titulaires de carte, y des données de titulaire de carte, y compris tous réseaux
compris tous réseaux sans fil; sans fil.
1.1.2.b. Vérifier que le diagramme est bien tenu à jour.
1.1.3 la nécessité d’un pare-feu 1.1.3 Vérifier que les normes de configuration de pare-feu
pour chaque connexion Internet et comportent l'exigence d'un pare-feu pour chaque connexion
entre toute zone d'accueil Internet, ainsi qu'entre tout DMZ et l'Intranet. Vérifier que le
(demilitarized zone, DMZ) et la zone diagramme de réseau actuel est cohérent avec les normes
de réseau interne; de configuration de pare-feu.
1.1.4 la description des groupes, 1.1.4 Vérifier que les normes de configuration de pare-feu
rôles et responsabilités en matière de incluent une description de groupes, rôles et responsabilités
gestion logique des composants de pour la gestion logique de composants de réseau.
réseau;
1.1.5 une liste écrite des services et 1.1.5 Vérifier que les normes de configuration de pare-feu
ports nécessaires à l’activité; incluent une liste documentée des services/ports
nécessaires à l'activité.
1.1.6 la justification et la 1.1.6 Vérifier que les normes de configuration de pare-
consignation par écrit de tous feu incluent une justification et une documentation pour
protocoles disponibles en dehors des tous protocoles disponibles, en plus des protocoles HTTP,
protocoles http (hypertext transfer SSL et SSH, ainsi que de VPN.
protocol, HTTP), SSL (secure sockets
layer, SSL), SSH (secure shell, SSH)
et de réseau privé virtuel (virtual
private network, VPN);
1.1.7 la justification et la 1.1.7.a Vérifier que les normes de configuration de pare-
consignation par écrits de tous feu incluent la justification et la consignation par écrits de
protocoles à risque autorisés (par tous protocoles à risque autorisés (par exemple, un
exemple, un protocole de transfert de protocole de transfert de fichiers (file transfer protocol,
fichiers (file transfer protocol, FTP), FTP), avec les motifs de l’utilisation du protocole et les
avec les raisons de l’utilisation du mesures de sécurité mises en œuvre.
protocole, et les mesures de sécurité 1.1.7.b Examiner la documentation et les paramètres pour
utilisées; chaque service utilisé afin de recueillir la preuve du fait que
le service est nécessaire et sécurisé.
1.1.8 un examen trimestriel des 1.1.8.a Vérifier que les normes de configuration de pare-
ensembles de règles applicables aux feu prévoient un examen trimestriel des ensembles de
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 10PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
pare-feux et aux routeurs; règles applicables aux pare-feux et routeurs.
1.1.8.b Vérifier que les ensembles de règles sont révisés
trimestriellement.
1.1.9 Normes de configuration pour 1.1.9 Vérifier qu’il existe des normes de configuration à
les routeurs la fois pour les pare-feux et les routeurs.
1.2 Développer une configuration 1.2 Sélectionner un échantillon de pare-feux/routeurs 1)
de pare-feu bloquant tout trafic en entre l’Internet et la zone d’accueil et 2) entre la zone
provenance de réseaux et d'hôtes d’accueil et le réseau interne. L’échantillon doit englober le
« non sécurisés », à l’exception des routeur-goulet (choke router) sur Internet, le routeur et le
protocoles nécessaires à pare-feu de zone d’accueil, le segment titulaire de carte de
l’environnement des données de zone d'accueil, le routeur de périmètre et le segment réseau
titulaire de carte. de titulaire de carte interne. Examiner les configurations des
pare-feux et routeurs pour vérifier que le trafic entrant et
sortant soit limité uniquement aux protocoles nécessaires à
l’environnement des données de titulaire de carte.
1.3 Élaborer une configuration de 1.3 Examiner les configurations de pare-feu/routeur pour
pare-feu limitant les connexions entre vérifier que les connexions restreintes entre les serveurs
des serveurs accessibles publiquement accessibles publiquement et les composants stockant des
et des composantes de système données de titulaire de carte, comme suit :
stockant des données de titulaire de
carte, y compris toute connexion
depuis un réseau sans fil. Cette
configuration de pare-feu doit en
principe inclure :
1.3.1 la restriction du trafic Internet 1.3.1 Vérifier que le trafic Internet entrant est limité à des
entrant vers des adresses Internet adresses IP dans la zone d’accueil.
dans la zone d'accueil (filtres
d'entrée);
1.3.2 ne pas laisser les adresses 1.3.2 Vérifier que les adresses internes ne peuvent passer
internes passer de l’Internet à la zone de l’Internet à la zone d’accueil.
d’accueil;
1.3.3 la mise en œuvre d’une 1.3.3 Vérifier que le pare-feu procède à une inspection
inspection dynamique, également dynamique (filtre dynamique à paquets). [Seules des
désignée comme filtre dynamique à connexions établies doivent être autorisées, et uniquement
paquets (ce qui signifie que seules si elles sont associées à une session préalablement établie
les connexions « établies » sont (exécuter NMAP sur tous les ports TCP, avec un ensemble
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 11PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
autorisées dans le réseau); de bits « syn reset » ou « syn ack »); une réponse signifie
que des paquets sont autorisés, même s'ils ne font pas
partie d'une session établie antérieurement)].
1.3.4 le positionnement de la base 1.3.4 Vérifier que la base de données se trouve dans une
de données dans une zone de réseau zone de réseau interne, distincte de la zone d’accueil.
interne, distincte de la zone d’accueil;
1.3.5 la limitation du trafic entrant et 1.3.5 Vérifier que le trafic entrant et le trafic sortant sont
sortant à ce qui est nécessaire à limités au nécessaire pour l’environnement du titulaire de
l'environnement des données de carte et que les restrictions sont dûment consignées par
titulaires de carte; écrit.
1.3.6 la sécurisation et la 1.3.6 Vérifier que les fichiers de configuration de routeur
synchronisation de fichiers de sont sécurisés et synchronisés [par exemple, que les
configuration de routeur. Ainsi, les fichiers de configuration d’exécution (utilisés pour le
fichiers de configuration d'exécution fonctionnement normal des routeurs) et des fichiers de
(pour le fonctionnement normal des configuration de démarrage (utilisés lorsque les machines
routeurs) et les fichiers de sont réinitialisées), ont bien des configurations identiques et
configuration de démarrage (lors du sécurisées].
redémarrage des machines) doivent
par exemple présenter une
configuration sécurisée identique;
1.3.7 l'interdiction de tout autre 1.3.7 Vérifier que tout autre trafic entrant ou sortant non
trafic, entrant ou sortant, dans la inclus dans les points 1.2 et 1.3 ci-dessus est
mesure où il n’a pas été spécifiquement exclu.
spécifiquement autorisé;
1.3.8 l'installation de pare-feux de 1.3.8 Vérifier que des pare-feux de périmètre sont installés
périmètre entre tous réseaux sans fil entre tous réseaux sans fil et systèmes stockant des
et l’environnement de données de données de titulaire de carte, et que ces pare-feux
titulaires de carte, et la configuration interdisent ou contrôlent tout trafic (dans la mesure où celui-
de ces pare-feux de manière à ci est nécessaire à des fins commerciales) depuis
bloquer tout trafic provenant de l’environnement sans fil vers des systèmes stockant des
l'environnement sans fil, ou pour données de titulaire de carte.
contrôler tout trafic (lorsqu’il est
nécessaire à des fins commerciales);
1.3.9 l'installation d’un logiciel de 1.3.9 Vérifier que les appareils mobiles et/ou les
pare-feu personnel sur un ordinateur ordinateurs appartenant à des employés équipés d’une
portable ou un ordinateur appartenant connectivité directe à l’Internet (par exemple, les ordinateurs
à un employé disposant d'une portables utilisés par des employés), et qui sont utilisés pour
connectivité directe à l'Internet (par accéder au réseau de l’organisation sont équipés de
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 12PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
exemple, les ordinateurs portables logiciels pare-feu personnels installés et actifs, configurés
utilisés par les employés), utilisés par l’organisation sur la base de critères spécifiques et non
pour accéder au réseau de modifiables par l’employé.
l'organisation.
1.4 Interdire l’accès public direct 1.4 Pour établir que l’accès direct entre des composants
entre les réseaux externes et toute de systèmes et de réseaux publics externes stockant des
composante du système stockant des données de titulaire de carte est interdit, mettre en œuvre les
données de titulaire de carte (par mesures suivantes, spécifiquement pour la configuration de
exemple, les fichiers de base de tout pare-feu/routeur situé entre la zone d’accueil et le réseau
données, journal et trace). interne :
1.4.1 Mettre en place une zone 1.4.1 Examiner les configurations de pare-feu/routeur, et
d’accueil pour filtrer et vérifier s’assurer qu’il n’existe aucune route directe pour le trafic
l’ensemble du trafic, ainsi que pour Internet entrant ou sortant.
interdire les routes directes pour le
trafic Internet entrant et sortant.
1.4.2 Restreindre le trafic sortant 1.4.2 Examiner les configurations de pare-feu/routeur et
des applications de carte de vérifier que le trafic interne sortant provenant des
paiement vers des adresses Internet applications de titulaire de carte peut uniquement accéder à
situées dans la zone d’accueil. des adresses IP situées dans la zone d'accueil.
1.5 Mettre en œuvre un 1.5 Pour l’échantillon de composants de pare-feu/routeur
déguisement d’adresse IP, pour éviter ci-dessus, vérifier que toute traduction d’adresse de réseau
que les adresses internes ne soient (Network Address Translation, NAT), ou toute autre
traduites et divulguées sur Internet. technologie utilisant l’espace d’adresse RFC 1918 est
Utilisation de technologies mettant en employée pour restreindre la diffusion d’adresses IP depuis le
œuvre l’espace adresse RFC 1918, réseau interne vers l’Internet (déguisement d’adresse IP).
telles qu'une traduction d’adresse de
port (port address translation, PAT) ou
une traduction d’adresse de réseau
(network address translation, NAT).
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 132ème exigence : ne pas utiliser les paramètres par défaut du fournisseur pour les mots de passe et les autres
paramètres de sécurité du système
Les pirates informatiques (externes et internes à une société) utilisent fréquemment des mots de passe par défaut du
fournisseur et d’autres paramètres par défaut du fournisseur pour s'introduire dans les systèmes. Ces mots de passe et
paramètres sont bien connus des communautés de pirates et facilement déterminés au moyen des informations publiques.
PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
2.1 Il est impératif de toujours modifier 2.1 Choisir un échantillon de composants du système, de
les paramètres par défaut du serveurs critiques et de points d’accès sans fil et tenter de se
fournisseur avant d’installer un connecter (avec l’aide d’un administrateur du système) à des
système sur le réseau (par exemple, dispositifs utilisant des comptes et mots de passe par défaut
inclure des mots de passe, des du fournisseur, afin de vérifier que les comptes et mots de
chaînes communautaires de protocole passe par défaut ont bien été modifiés. (Pour identifier les
de gestion de réseau simple (simple comptes/mots de passe du fournisseur, consulter les manuels
network management protocol, SNMP) et sources du fournisseur disponibles sur Internet.)
et la suppression de comptes inutiles).
2.1.1 Dans le cas des 2.1.1 Vérifier les éléments suivants concernant les
environnements sans fil, modifier paramètres par défaut pour les environnements sans fil :
les paramètres par défaut du • que les clés WEP par défaut ont été modifiées lors
fournisseur sans fil, y compris de l’installation, et sont changées chaque fois
notamment les clés Wired Equivalent qu’une personne ayant connaissance des clés
Privacy (WEP), le Service Set quitte la société ou change de fonction;
IDentifier (SSID) par défaut, les mots • que le SSID a été modifié;
de passe et les chaînes
• que la diffusion de la SSID a été désactivée;
communautaires SNMP. Désactiver
les émissions en clair du SSID sur le • que les chaînes communautaires SNMP aux
réseau. Mettre en place une points d’accès ont été changées;
technologie d’accès WiFi protégé • que les mots de passe par défaut aux points
(WPA et WPA2) pour le chiffrement d’accès ont été changés;
et l’authentification lorsqu’il existe une • que la technologie WPA ou WPA2 est activée si le
capacité WPA. système sans fil est compatible WPA;
• le cas échéant, d'autres paramètres par défaut du
fournisseur sans fil liés à la sécurité.
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 14PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
2.2 Développer des normes de 2.2.a Étudier les normes de configuration du système de
configuration pour l’ensemble des l’organisation pour les composantes de réseau, les serveurs
composants du système. Faire en sorte critiques et les points d’accès au réseau sans fil et vérifier que
que ces normes prennent en compte les normes de configuration du système sont compatibles
l’ensemble des vulnérabilités connues avec des normes de renforcement de la sécurité acceptées
en matière de sécurité et soient par l’industrie, telles que définies, par exemple, par le SANS,
cohérentes avec des normes de le NIST et le CIS.
renforcement de la sécurité du système 2.2.b Vérifier que les normes de configuration du système
acceptées par l’industrie, telles que incluent chaque élément ci-après (aux 2.2.1 – 2.2.4).
définies, par exemple par le SysAdmin
Audit Network Security Network
(SANS), le National Institute of 2.2.c Vérifier que les normes de configuration de système
Standards Technology (NIST) et le s’appliquent lors de la configuration de nouveaux systèmes.
Center for Internet Security (CIS).
2.2.1 Mettre en œuvre uniquement 2.2.1 Pour un échantillon de composants du système, de
une section primaire par serveur serveurs critiques et de points d’accès sans fil, vérifier
(ainsi, les serveurs Internet, de base qu'une seule fonction primaire est mise en œuvre par
de données et DNS doivent être mis serveur.
en place sur des serveurs distincts).
2.2.2 Désactiver tous les services et 2.2.2 Pour un échantillon de composants de système, de
protocoles inutiles et non sécurisés serveurs critiques et de points d'accès sans fil, inspecter les
(les services et protocoles qui ne sont services, démons et protocoles du système activés. Vérifier
pas directement nécessaires à que des services ou protocoles inutiles ou non sécurisés ne
l’exécution de la fonction spécifiée sont pas activés, ou qu’ils sont justifiés et dûment consignés
des appareils). par écrit en liaison avec l’utilisation appropriée du service
(par exemple, que le FTP n’est pas utilisé, ou qu’il est chiffré
par technologie SSH ou autre).
2.2.3 Configurer les paramètres de 2.2.3.a Interroger les administrateurs de système et/ou les
sécurité du système pour prévenir responsables de la sécurité pour vérifier qu’ils connaissent
toute utilisation frauduleuse. bien les configurations des paramètres de sécurité courants
de leurs systèmes d’exploitation, serveurs de base de
données, serveurs Internet et systèmes sans fil.
2.2.3.b Vérifier que les configurations des paramètres de
sécurité courants sont inclus dans les normes de
configuration du système.
2.2.3.c Pour un échantillon de composants de système, de
serveurs critiques et de points d'accès sans fil, vérifier que
les paramètres de sécurité communs sont réglés de
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 15PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
manière adéquate.
2.2.4 Supprimer toutes les 2.2.4 Pour un échantillon de composants de
fonctionnalités inutiles, telles que les système, de serveurs critiques et de points d'accès sans
scripts, lecteurs, dispositifs, sous- fil, vérifier que toute fonctionnalité inutile (par exemple, les
systèmes, systèmes de fichiers et scripts, drivers, fonctionnalités, sous-systèmes, systèmes
serveurs Internet inutiles. de fichiers, etc.) est supprimée. S’assurer que les
fonctions activées sont dûment recensées et que seules
des fonctionnalités consignées par écrit sont présentes sur
les machines constituant l'échantillon.
2.3 Crypter tous les accès 2.3 Pour un échantillon de composants de système, de
administratifs non-console. Utiliser des serveurs critiques et de points d'accès sans fil, vérifier que
technologies telles que SSH, VPN ou l’accès administratif non console est chiffré :
SSL/TLS (transport layer security) pour • en observant la connexion d’un administrateur à
la gestion par Internet et les autres chaque système pour vérifier que la technologie
accès administratifs non console. SSH (ou toute autre méthode de chiffrement) est
activée avant que le mot de passe de
l'administrateur ne soit requis;
• en vérifiant les services et fichiers de paramètres
sur les systèmes, pour établir que Telnet et
d’autres commandes de connexion ne sont pas
disponibles pour une utilisation interne;
• en s'assurant que l'accès d'un administrateur à
l'interface de gestion sans fil est crypté par
SSL/TLS. De manière alternative, vérifier que les
administrateurs ne peuvent se connecter à
distance à l’interface de gestion sans fil (toute
gestion d’environnements sans fil s’effectue
uniquement à partir de la console).
2.4 Les fournisseurs d’hébergement 2.4 Mettre en œuvre les procédures de tests A.1.1 à
doivent protéger les données et A.1.4, telles que décrites en détail dans l’Annexe A,
l’environnement hébergé de chaque « Conditions d’application des normes PCI DSS pour les
entité. Ces fournisseurs doivent se fournisseurs d’hébergement (avec procédures de test) » pour
conformer à des instructions les audits PCI des Fournisseurs de services partagés, afin
spécifiques figurant en Annexe A : de vérifier que les Fournisseurs de services partagés
« Application des normes PCI DSS des protègent l'environnement et les données hébergées de leurs
fournisseurs d’hébergement ». entités (commerçants et fournisseurs de service).
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 16Copyright 2006 PCI Security Standards Council LLC. Security Audit Procedures v 1.1 17
Protéger les données des titulaires de carte
3ème exigence : protéger les données des titulaires de carte en stock
Le cryptage est une composante essentielle de la protection des données des données de titulaires de carte. Si un intrus
parvient à franchir les autres contrôles de sécurité du réseau, et à accéder à des données cryptées, sans les clés de
cryptographie adéquates, les données ne sont pas lisibles ni utilisables par lui. D’autres méthodes efficaces de protection
des données stockées doivent également être envisagées comme des opportunités d’atténuation possible du risque. Ainsi,
au nombre des méthodes de minimisation des risques figure notamment des données le non stockage des données de
carte de crédit à moins que cela ne soit absolument nécessaires, le fait de tronquer les données du titulaire de carte si un
PAN complet n’est pas nécessaire, ainsi que la transmission des PAN exclusivement par courrier électronique crypté.
PAS EN DATE CIBLE/
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PLACE COMMENTAIRES
3.1 Le stockage des données de 3.1 Collecter et étudier les politiques et procédures de la
titulaire de carte doit être réduit au société en matière de conservation et de destruction de
minimum. Élaborer une politique en données et mettre en œuvre les mesures suivantes :
matière de conservation et • vérifier que les politiques et procédures incluent
d’élimination de données. Limiter les des obligations légales, réglementaires et
quantités stockées et les délais de commerciales en matière de conservation de
conservation des données au strict données, y compris des exigences spécifiques
nécessaire au plan économique, légal relative à la conservation des données de titulaire
et/ou réglementaire, comme prévu de carte (par exemple, les données de titulaire de
dans la politique en matière de carte doivent être détenues durant une période X,
conservation des données. pour des raisons commerciales Y);
• vérifier que les politiques et procédures incluent
des dispositions relatives à l'élimination des
données, lorsqu'il n'existe plus de raisons légales,
réglementaires ou commerciales, y compris
concernant les données de titulaire de carte;
• vérifier que les politiques et procédures englobent
tout stockage de données de titulaire de carte, y
compris les serveurs de base de données,
ordinateurs centraux, répertoires de transfert et
répertoires de copies de données en vrac utilisés
pour transférer des données entre serveurs, ainsi
que les répertoires utilisés pour normaliser des
données entre transferts de serveurs;
• vérifier que les politiques et procédures prévoient
Copyright 2006 PCI Security Standards Council LLC.
Security Audit Procedures v 1.1 18Vous pouvez aussi lire
