Après une réunion au sein du groupe cartes bancaires, j’ai eu l’occasion de rencontrer Jeremy King Directeur à l’International du PCI SSC pour échanger sur l’utilisation du protocole de chiffrement à utiliser sur une plateforme PCI DSS. La réponse fut brutale : « OpenSSL is broken and using TLS 1.2 is necessary but not ideal ». Ayant…
Voila enfin le dernier article sur les différences entre la version 2.0 et 3.0 du standard PCI DSS. La gestion d’une politique de sécurité des informations. Une politique de sécurité robuste définit la sécurité mise en oeuvre à l’échelle de l’entreprise et indique aux employés ce que l’on attend d’eux. Tout le personnel doit être…
Le chapitre 11 du standard PCI DSS apporte quelques exigences supplémentaires. Des vulnérabilités sont sans cesse découvertes par des individus malveillants et des chercheurs, et sont introduites avec tout nouveau logiciel dans le CDE. Les composants du système, les processus et les logiciels personnalisés doivent être fréquemment testés afin de s’assurer que les contrôles de…
Nous continuons notre aventure sur les différences de base entre la version 2.0 et 3.0 du standard PCI DSS. Le chapitre 10 axé sur la surveillance et le suivi de tous les accès aux ressources réseaux. Les mécanismes de journalisation et la possibilité de suivre les activités des utilisateurs sont essentiels pour prévenir, détecter ou…
Mon chapitre préféré car je retrouve mes origines DataCenters. C’est aussi le chapitre le plus cool de PCI DSS (pas le moins cher non plus). Dans la mesure où tout accès physique à des données ou à des systèmes hébergeant des données du titulaire permet à des individus d’accéder à des périphériques ou à des…
Le chapitre 8 du standard PCI DSS » Identifier et authentifier ». Un des chapitres les plus importants du standard PCI DSS. En affectant un identifiant (ID) unique à chaque personne ayant un accès, on s’assure que chaque individu sera personnellement responsable de ses actes. Lorsque cette responsabilité est en place, les actions prises sur des…
