Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaire
Nous continuons notre aventure sur les différences de base entre la version 2.0 et 3.0 du standard PCI DSS. Le chapitre 10 axé sur la surveillance et le suivi de tous les accès aux ressources réseaux. Les mécanismes de journalisation et la possibilité de suivre les activités des utilisateurs sont essentiels pour prévenir, détecter ou minimiser l’impact d’une altération des données. La présence de journaux dans tous les environnements permet de suivre de près, d’émettre des alertes et d’analyser les incidents éventuels. En l’absence de journaux retraçant les activités du système, il est très difficile, sinon impossible, de déterminer la cause d’une anomalie.
| Exigence PCI DSS 2.0 | Exigence PCI DSS 3.0 | Type de modification | Description de la modification |
|---|---|---|---|
| 10.1 | 10.1 | Clarification | Éclairage du fait que les pistes d'audit doivent être mis en oeuvre pour relier les accès aux composants du système à chaque utilisateur, plutôt que d'établir uniquement un processus. |
| 10.2.1 | 10.2.1 | Clarification | Clarification du fait que le but est que tous les accès d'utilisateurs individuels aux données du titulaire soient inclus dans les pistes d'Audit. |
| 10.2.5 | 10.2.5 | Clarification | Amélioration de l'exigence pour inclure la modification des mécanismes d'identification et d'authentification (y compris notamment la création de nouveaux comptes et l'élévation de privilèges) et toutes les modifications, additions, suppressions des comptes avec un accès root ou administrateur. |
| 10.2.6 | 10.2.6 | Clarification | Amélioration de l'exigence concernant l'inclusion d'un arrêt ou d'une pause des journaux d'audit (log). |
| 10.6 | 10.6 | Clarification | Eclairage sur l'exigence qui à pour objectif l'analyse des journaux et d'identifier les anomalies ou les activités suspectes, ainsi que d'apporter davantage de directives concernant par portée des analyses quotidiennes de journaux. Egalement de permettre une plus grande flexibilité de l'analyse quotidienne des événements de sécurité et des journaux critiques du système et des autres évènements de journaux, tel que le définit la stratégie de gestion des risques de l'entité. |
