PCI DSS – 6 objectifs pour répondre aux 12 chapitres

Appréhender les 12 travaux de PCI DSS

Le PCI SSC nous demande de suivre les 12 chapitres du standard de sécurité PCI DSS.

Dans notre quête de la compréhension de PCI DSS, je vous propose en 6 objectifs de remplir les 12 exigences PCI DSS.

Construire et maintenir un réseau sécurisé

  • Exigence N°1 : Installation et maintenance des configurations Firewalls qui protègent le CDE (Card Dataholder Environment).
  • Exigence N°2: Ne pas utiliser les appliances et logiciels avec les paramètres de sécurité et mot de passe par défaut.

Protéger les données cartes

  • Exigence N°3: Sécurisé le stockage des données cartes.
  • Exigence N°4: Chiffrer les connexions aux systèmes d’informations qui permettent d’avoir les données cartes sur les réseaux publiques.

Avoir un programme de Vulnerability management sur ces composants PCI

  • Exigence N°5: Utiliser et maintenir les logiciels anti-virus
  • Exigence N°6:  Utiliser des applications et des développement sécurisés et avoir des infrastructures durcis.

Implémenter des contrôles d’accès aux composants PCI renforcés et des mesures de contrôles fortes.

  • Exigence N°7: Restreindre l’accès aux données des cartes par département et entitées (segmentation de l’information sur les données cartes).
  • Exigence N°8: Chaque utilisateur doit disposer d’un accès unique sécurisé au CDE (Pas de compte générique).
  • Exigence N°9: Restreindre et protéger physiquement les systèmes qui hébergent les données cartes (DataCenter, Baies, Serveurs…).

Superviser et faire les tests sur les infrastructures réseaux de façon régulières.

  • Exigence N°10 : Enregistrer et superviser tous les accès aux ressources réseaux et aux données cartes.
  • Exigence N°11: Effectuer des tests de sécurités sur l’ensemble des systèmes PCI et sur l’ensemble des processus.

Maintenir à jour les politiques de sécurité sur l’ensemble du CDE.

  • Exigence N°12 : Maintenir et sensibiliser les utilisateurs sur la PSSI de l’entreprise ainsi que sur les différents acteurs qui travaillent sur le CDE.