Avoir une approche pragmatique de la présence d’un réseau sans fil dans un environnement PCI DSSCette question revient à chaque fois que l’on démarre le processus de certification avec les auditeurs QSA. « Avez vous un réseau Wifi qui communique avec vos composants PCI et qui transporte du PAN. J’utilise bien entendu le référentiel PCI DSS…
Choisir le bon protocole de chiffrement pour PCI DSSAprès une réunion au sein du groupe cartes bancaires, j’ai eu l’occasion de rencontrer Jeremy King Directeur à l’International du PCI SSC pour échanger sur l’utilisation du protocole de chiffrement à utiliser sur une plateforme PCI DSS. La réponse fut brutale : « OpenSSL is broken and using…
Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnelVoila enfin le dernier article sur les différences entre la version 2.0 et 3.0 du standard PCI DSS. La gestion d’une politique de sécurité des informations. Une politique de sécurité robuste définit la sécurité mise en oeuvre à l’échelle de l’entreprise et indique…
Tester régulièrement les processus et les systèmes de sécuritéLe chapitre 11 du standard PCI DSS apporte quelques exigences supplémentaires. Des vulnérabilités sont sans cesse découvertes par des individus malveillants et des chercheurs, et sont introduites avec tout nouveau logiciel dans le CDE. Les composants du système, les processus et les logiciels personnalisés doivent être fréquemment…
Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaireNous continuons notre aventure sur les différences de base entre la version 2.0 et 3.0 du standard PCI DSS. Le chapitre 10 axé sur la surveillance et le suivi de tous les accès aux ressources réseaux. Les mécanismes de journalisation…
Restreindre l’accès physique aux données du titulaireMon chapitre préféré car je retrouve mes origines DataCenters. C’est aussi le chapitre le plus cool de PCI DSS (pas le moins cher non plus). Dans la mesure où tout accès physique à des données ou à des systèmes hébergeant des données du titulaire permet à des individus d’accéder…
Identifier et authentifier l’accès aux composants du systèmeLe chapitre 8 du standard PCI DSS » Identifier et authentifier ». Un des chapitres les plus importants du standard PCI DSS. En affectant un identifiant (ID) unique à chaque personne ayant un accès, on s’assure que chaque individu sera personnellement responsable de ses actes. Lorsque cette responsabilité est…
PCI DSS Kesako…Après le premier lot PCI DSS, me voila de nouveau dans le bain pour un second lot avec de nouvelles équipes (DSI, Etudes, Métiers…) et on repart de presque tout. Petit pense bête pour les petits nouveaux…
Mise en oeuvre de mesure de contrôle d’accès strictesLe chapitre 7 du standard PCI DSS demande de restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaitre. Pour veiller à ce que les données stratégiques ne soient accessibles qu’au seul personne autorisé, des systèmes et des processus doivent être mis en place…
Développer et gérer des systèmes et des applications sécurisésLe chapitre 6 du standard PCI DSS apporte un éclairage sur le fait que des individus sans scrupules peuvent exploiter les points faibles de la sécurité des applications pour obtenir un accès privilégiés à celles-ci.Le standard PCI DSS version 3.0 apporte pas mal de clarification sur l’interprétation…
