Le chapitre 1 du standard de sécurité PCI DSS contient l’ensemble des exigences sur l’Installation et la maintenance des configurations Firewall qui protègent le CDE (Card Dataholder Environment). Dans la nouvelle version du standard, je vous propose de passer en revue les changements entre la 2.0 et la 3.0.
Le tableau ci-dessous nous éclaire sur les changements et leurs types. Nous apprécierons les différentes clarifications qui nous permettrons de mieux appréhender les audits PCI DSS. L’interprétation pour le QSA comme pour l’Audité s’en trouve facilitée.
| Exigences PCI DSS 2.0 | Exigences PCI DSS 3.0 | Type de modification | Description détaillée |
|---|---|---|---|
| 1.1.x | 1.1.x | Clarification | Précisions sur le fait que les normes de pare-feu et des routeurs qui doivent être documentées et mis en œuvres. |
| 1.1.2 | 1.1.2 1.1.3 | Évolution de la condition | Le diagramme de réseau doit inclure et ajouter d'une nouvelle condition en 1.1.3 pour que le diagramme actuel montre les flux de données du titulaire. |
| 1.1.5 | 1.1.6 | Clarification | Exemples clarifiés de services & protocoles non sécurisés et de ports pour spécifier le SNMP V1 et V2. |
| 1.2.2 | 1.2.2 | Clarification | Éclairer le fait que le but de la sécurisation des fichiers de configuration des routeurs est leur sécurisation de ces derniers face aux accès non autorisés. |
| 1.2.3 | 1.2.3 | Clarification | Clarification du fait que le but du contrôle de trafic entre les réseaux sans fil et les CDE est de permettre le trafic autorisé. |
| 1.3.4 | 1.3.4 | Clarification | Clarification du fait que le but l'exigence est la mise en oeuvre de mesure anti-usurpation pour détecter et empêcher les adresses IP de sources frauduleuses de pénétrer sur le réseau. |
| 1.4 | 1.4 | Clarification | Alignement de terminologie entre la condition et les procédures de tests à fin de cohérence. |
