Tester régulièrement les processus et les systèmes de sécurité
Le chapitre 11 du standard PCI DSS apporte quelques exigences supplémentaires. Des vulnérabilités sont sans cesse découvertes par des individus malveillants et des chercheurs, et sont introduites avec tout nouveau logiciel dans le CDE. Les composants du système, les processus et les logiciels personnalisés doivent être fréquemment testés afin de s’assurer que les contrôles de sécurité reflètent toujours les nouveaux environnements.
| Exigence PCI DSS 2.0 | Exigence PCI DSS 3.0 | Type de modification | Description de la modification |
|---|---|---|---|
| 11.1.x | 11.1.x | Evolution de l'exigence | Amélioration de la condition d’inclusion d’un inventaire des points d’accès sans fil autorisés et une justification commerciale (11.1.1) pour prendre en charge le scan des appareils sans fil non autorisés ; ainsi que l’ajout d’une nouvelle condition 11.1.2 pour s’aligner avec une procédure de test qui existe déjà, pour les procédures de réponse aux incidents si des points d’accès sans fil non autorisés sont détectés. |
| 11.2 | 11.2 | Exigences supplémentaires | Ajout de directives sur la combinaison de multiples rapports de scan afin d’obtenir et de documenter un résultat satisfaisant. |
| 11.2.1 | 11.2.1 | Clarification | Clarifier le fait que les scans trimestriels de vulnérabilité interne comprennent de nouveaux scans si besoin jusqu’à ce que les vulnérabilités « élevées » (telles que les identifie la condition 6.1 de la norme PCI DSS) soient résolus et qu’ils doivent être accomplis par un personnel qualifié. |
| 11.2.2 | 11.2.2 | Clarification | Clarification du fait que les scans de vulnérabilité externe comprennent de nouveau scans en cas de besoin jusqu’à obtention de scans satisfaisants et ajout d’une note pour consulter le Guide de programme ASV. |
| 11.2.3 | 11.2.3 | Clarification | Clarifier le fait que les scans internes et externes effectués après des changements significatifs comprennent de nouveaux scans si besoin jusqu’à ce que les vulnérabilités « élevées » (telles que les identifie la condition 6.1 de la norme PCI DSS) soient résolus et qu’ils doivent être accomplis par un personnel qualifié. |
| 11.3 | Evolution de l'exigence | Nouvelle condition de mise en œuvre d’une méthodologie pour le test de pénétration. Entrée en vigueur au 1er juillet 2015 Les conditions de la norme PCI DSS v2.0 pour le test de pénétration doivent être suivies jusqu’à ce que la v3.0 soit en place. |
|
| 11.3 | 11.3.1 11.3.2 | Clarification | Division de l’ancienne condition 11.3 en 11.3.1 pour les conditions de test de pénétration externe et 11.3.2 pour conditions de test de pénétration interne. |
| 11.3 | 11.3.3 | Clarification | Nouvelle exigence créée à partir de l’ancienne procédure de test (11.3.b) pour corriger les vulnérabilités exploitables découvertes pendant les tests de pénétration et la répétition des tests pour vérifier les corrections. |
| 11.3.4 | Evolution de l'exigence | Nouvelle exigence, si la segmentation est utilisée pour isoler le CDE des autres réseaux, effectuer des tests de pénétration pour vérifier que les méthodes de segmentation sont opérationnelles et efficaces. | |
| 11.4 | 11.4 | Clarification | Amélioration de la flexibilité en spécifiant les techniques de détection d’intrusion et/ou de prévention d’intrusion dans le réseau plutôt que les « systèmes intrusion-détection et/ou intrusion-prévention ». |
| 11.5 | 11.5 | Clarification | Meilleure flexibilité en spécifiant le mécanisme de détection des changements plutôt que la « surveillance de l’intégrité des fichiers ». |
| 11.5.1 | Evolution de l'exigence | Nouvelle condition de mise en œuvre d’un processus pour répondre à n’importe quelle alerte générée par le mécanisme de détection de changement (prend en charge 11.5). |
Enjoy and be cool…The LifeCycle by PCI DSS 🙂
