Beaucoup de clarification sur ce chapitre mais qui reste dans l'esprit PCI DSS
Nous continuons notre voyage sur les différences entre la version 2.0 et 3.0 sur le standard PCI DSS. Le Chapitre 2: Ne pas utiliser les appliances et logiciels avec les paramètres de sécurité et mot de passe par défaut.
On ne rigole pas dans la salle, nous avons tous des composants avec les mots de passe par défaut…
Le tableau ci-dessous nous éclaire sur les différences entre la version 2 Vs Version 3 pour le chapitre 2.
| Exigences PCI DSS 2.0 | Exigences PCI DSS 3.0 | Type de modification | Description |
|---|---|---|---|
| 2.1 | 2.1 | Clarification | Le changement des mots de passe par défaut du fournisseur s'applique à tous les mots de passes par défaut, y compris ceux des systèmes, applications, logiciels de sécurité, terminaux...et que les comptes par défaut inutiles sont éliminés ou désactivés. |
| 2.1.1 | 2.1.1 | Clarification | Eclairage sur l'exigence sur le fait que tous les paramètres par défaut du fournisseur de service sans fil soient changés à l'installation. |
| 2.2 | 2.2 | Clarification | Clarification du fait que les normes de configuration de système comprennent des procédures pour le changement des paramètres par défaut du fournisseur et des comptes par défaut inutiles. |
| 2.2.2 | 2.2.2 2.2.3 | Clarification | L'exigence 2.2 est divisée en deux conditions pour mieux identifiés les ports nécessaires (2.2.2) et les ports sécurisés (2.2.3). |
| 2.4 | Évolution du standard | La nouvelle exigence est la tenue d'un inventaire des composants du système dans le CDE pour prendre en charge le développement de normes de configuration. |
