Mise en oeuvre de mesure de contrôle d'accès strictes
Le chapitre 7 du standard PCI DSS demande de restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaitre. Pour veiller à ce que les données stratégiques ne soient accessibles qu’au seul personne autorisé, des systèmes et des processus doivent être mis en place pour restreindre l’accès à ces données aux seuls individus qui doivent les connaitre et en fonction de leurs responsabilités professionnelles.
Pour faire court, les droits d’accès ne sont accordés qu’au plus petit nombre de données sensibles nécessaires et en fonction de la tâche à effectuer.
Le tableau ci-dessous apporte les clarifications sur le chapitre 7 dans la version 3.0 du standard.
| Exigence PCI DSS 2.0 | Exigence PCI DSS 3.0 | Type de modification | Description de la modification |
|---|---|---|---|
| 7.1 | 7.1 | Clarification | Procédures de test modifiées pour clarifier ce que la politique comprend basé sur les modifications des exigences 7.1.1 à 7.1.4. |
| 7.1.1 | Clarification | Nouvelle exigence pour recouvrir la définition des besoins d'accès de chaque rôle, pour prendre en charge les exigences 7.1.2 à 7.1.4. | |
| 7.1.1 | 7.1.2 | Clarification | Nouvel objectif de l'exigence sur la restriction des accès des logins utilisateurs (ID) privilégiés aux privilèges les plus faibles nécessaires et meilleures procédures de test. |
| 7.1.2 | 7.1.3 | Clarification | Nouvelle objectif de l'exigence sur l'attribution d'accès basée sur la classification et la fonction professionnelle de chaque poste. |
| 7.1.4 | Clarification | Éradication de l’ancienne exigence 7.1.4 maintenant couverte par l'exigence 7.1.2 |
Enjoy 🙂
