Prendre en compte les exigences PCI DSS en cas d'un choix externe de son DataCenter
Lors de l’implémentation de la bulle PCI DSS, vous serez confronté aux choix de votre centre de données. La solution retenue devra prendre en compte le chapitre 9 bien entendu et si vous prenez le choix d’externaliser votre salle blanche chez un opérateur de centre de données externe vous devrez remplir les exigences de l’annexe A de la norme PCI DSS version 3.0.
Je me suis appuyé pour l’écriture de ce billet de la norme PCI DSS 3.0 « Autres conditions de la norme PCI DSS s’appliquant aux fournisseurs d’hébergement partagé » situé en Annexe A.
Le contexte
Vous choisissez un centre de données sur la place (Interxion, Global Switch, Data4, Telecity Group, Cogent, Verizon, Telehouse…) et vous louez une baie ou une salle privative chez eux. Vous devrez suivre les exigences 12.8 et 12.9 de la norme en sus à tous les prestataires qui ont accès aux données carte (notamment le personnel de la proximité et du DataCenter). De plus, la condition 2.6 exige que les prestataires de services doivent protéger les données et l’environnement (physique & logique) de chaque entité.
Dans notre cas, le centre de données (prestataire de service dans la norme PCI DSS) doit se mettre en conformité avec l’ensemble des exigences de l’annexe A présenté ci-dessous.
Conseils du Directeur de Projet: Ne pas hésiter à visiter, re-visiter et encore re-visiter le Centre de données avec un QSA pour soulever l’ensemble des points.Annexe A.1
Exigences
Protéger les données et l’environnement du CDE hébergés de chaque entité (Le commerçant, le PSP ou toute autre entité). Le DataCenter (Prestataire de services d’hébergement partagé) doit satisfaire à l’ensemble des exigences de l’annexe A (A1 à A4).
Annexe A.1
Vérifications
Dans le cadre spécifique de l’évaluation d’un DataCenter (Prestataire de services d’hébergement partagé) au regard de la norme PCI DSS, les vérifications auront lieu sur un échantillon de serveurs (Microsoft Windows, Linux, Unix…) appartenant à quelques entités (Commerçants, PSP…)hébergés et représentatifs et suivre l’annexe A dans l’intégralité…
Annexe A.1.1
Exigences
Il faut s’assurer que chaque entité ne met en oeuvre que les processus qui ont accès à l’environnement des données (CDE) qui la concerne.
Vérifications
Si un prestataire de services d’hébergement partagé autorise des entités (par exemple, commerçants ou prestataires de services) à déployer leurs propres applications, vérifier que ces processus sont exécutés avec l’ID unique de l’entité. Par exemple :
- Aucune entité sur le système ne peut utiliser un ID d’utilisateur partagé sur le serveur Web.
- Tous les scripts CGI utilisés par une entité doivent être créés et exécutés sous l’ID d’utilisateur unique de l’entité.
Annexe A.1.2
Exigences
Restreindre l’accès et les privilèges de chaque entité à son propre environnement de données du titulaire.
Vérifications
A.1.2.a Vérifier que l’ID d’utilisateur de tout processus d’application n’est pas un utilisateur avec des privilèges (racine/admin).
A.1.2.b Vérifier que chaque entité (commerçant, prestataire de services) a des autorisations de lecture, d’écriture ou d’exécution uniquement sur les fichiers et les répertoires qui lui appartiennent ou sur les fichiers système nécessaires (restreintes au moyen d’autorisations sur le système de fichiers, de listes de contrôle d’accès, chroot, jailshell, etc.).
Important : Les fichiers d’une entité ne peuvent pas être partagés par groupe d’entité.
A.1.2.c Vérifier que les utilisateurs d’une entité n’ont pas un accès en écriture aux fichiers binaires d’un système partagé.
A.1.2.d Vérifier que l’affichage des entrées des journaux est limité à l’entité propriétaire de ces journaux.
A.1.2.e Pour s’assurer que chaque entité ne puisse pas monopoliser des ressources serveur en vue d’exploiter des vulnérabilités (notamment, erreur, concurrence critique et conditions de reprise entraînant, par exemple, la saturation de la mémoire tampon), vérifier que des restrictions sont en place pour l’usage de ces ressources système :
- Espace disque,
- Bande passante,
- Mémoire,
- Processeur
Les directives associées à l’annexe A.1.2x sont:
Pour s’assurer que l’accès et les privilèges sont restreints de telle sorte que chaque commerçant et prestataire de services ne puisse accéder qu’à son propre environnement, tenir compte des facteurs suivants :
1. Privilèges de l’ID utilisateur du serveur Web du prestataire de service ou du commerçant ;
2. Permissions accordées pour lire, écrire et exécuter des fichiers ;
3. Permissions accordées pour écrire les systèmes binaires ;
4. Permissions accordées aux fichiers de journalisation de prestataire de service et du commerçant;
5. Contrôles pour assurer qu’un commerçant ou un prestataire de service ne puisse pas monopoliser les ressources du système.
Annexe A.1.3
Exigences
S’assurer que la journalisation et les vérifications à rebours sont activées, uniques à l’environnement des données du titulaire de chaque entité et conformes à la condition du chapitre 10 de la norme PCI DSS.
Vérifications
A.1.3 Vérifier que le prestataire de services d’hébergement partagé a activé la journalisation comme suit, pour l’environnement de chaque commerçant et prestataire de services :
• Les journaux sont activés pour les applications tierces courantes ;
• Les journaux sont activés par défaut ;
• Les journaux peuvent être consultés par l’entité à laquelle ils appartiennent ;
• Les emplacements des journaux sont clairement communiqués à l’entité propriétaire.
La directive associée est que dans un environnement d’hébergement partagé, des journaux doivent être disponibles afin que les commerçants et les prestataires de services puissent
accéder et examiner les journaux spécifiques à leur environnement de données du titulaire.
Des logiciels comme Splunk, Syslog-NG font très bien ce type de tâches….
Annexe A.1.4
Exigences
Activer les processus d’investigation légale rapide en cas d’incident dans l’environnement d’un commerçant ou d’un prestataire de services.
Vérifications
Vérifier que le prestataire de services d’hébergement partagé a des politiques écrites garantissant la mise en œuvre rapide d’investigations légales sur les serveurs en cas d’incident.
La directive associée est que les fournisseurs d’hébergement partagé doivent disposer de processus permettant une réponse rapide et simple en cas d’enquête légale après incident, et permettant un niveau de détail approprié, allant jusqu’à comprendre les informations sur le commerçant ou le prestataire de services à titre individuel.
Effet garantie lorsque vous posez la question au commercial du DataCenter…un ange passe 🙂