Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnel
Voila enfin le dernier article sur les différences entre la version 2.0 et 3.0 du standard PCI DSS. La gestion d’une politique de sécurité des informations. Une politique de sécurité robuste définit la sécurité mise en oeuvre à l’échelle de l’entreprise et indique aux employés ce que l’on attend d’eux. Tout le personnel doit être sensibilisé au caractère confidentiel des données et à ses responsabilités dans la protection de ces informations. Dans le cadre de ce chapitre 12, le terme « personnel » désigne les employés à temps plein et à temps partiel, les intérimaires ainsi que les sous-traitants et les consultants qui « résident » sur le site de l’entité ou ont accès d’une manière ou d’une autre à l’environnement des données du titulaire.
| Exigence PCI DSS 2.0 | Exigence PCI DSS 3.0 | Type de modification | Description de la modification |
|---|---|---|---|
| 12.1.1 12.2.2 | 1.5, 2.5, 3.7, 4.3, 5.4, 6.7, 7.3, 8.8, 9.10, 10.8, 11.6 | Clarification | Combinaison des anciennes exigences à 12.1.1 (pour que la politique de sécurité de l’information adresse toutes les exigences du PCI DSS) et 12.2 (pour les procédures de sécurité opérationnelle), qui sont déplacées dans les Conditions 1 à 11, en tant qu’exigence dans chaque condition. |
| 12.1.3 | 12.1.1 | Clarification | Les anciennes conditions 12.1.3 à 12.1.1 sont déplacées. |
| 12.1.2 | 12.2. | Evolution de l'exigence | L’ancienne condition 12.1.2 de processus annuel d’évaluation des risques est déplacée vers 12.2 et il est clarifié que l’évaluation de risque doit être accomplie au moins une fois par an et après des changements significatifs de l’environnement. |
| 12.3.4 | 12.3.4 | Clarification | Clarification du fait que « l’étiquetage » est un exemple de méthode pouvant être utilisée. |
| 12.3.8 | 12.3.8 | Clarification | Nouvelle procédure de test pour vérifier que la politique de déconnexion des sessions d’accès à distance après une période d’inactivité spécifique est mise en œuvre. |
| 12.3.10 | 12.3.10 | Clarification | Alignement de la terminologie entre la condition et les procédures de test pour clarifier le fait que, en cas de besoin commercial autorisé pour que le personnel accède aux données du titulaire à l’aide d’une technologie d’accès à distance, les données doivent être protégées, conformément à toutes les conditions applicables de la norme PCI DSS. |
| 12.8 | 12.8 | Clarification | Clarification de l’objectif de mise en œuvre et de maintenance de politiques et de procédures de gestion des prestataires de services avec lesquelles les données du titulaire sont partagées, ou qui pourraient affecter la sécurité des données du titulaire comme suit : |
| 12.8.2 | 12.8.2 | Clarification | Clarification des responsabilités applicables pour l’accord écrit/reconnaissance du prestataire de service. |
| 12.8.5 | Evolution de l'exigence | Nouvelle exigence de maintien des informations concernant les conditions de la norme PCI DSS qui sont gérées par chaque prestataire de services et celles qui sont gérées par l’organisation. | |
| 12.9 | Evolution de l'exigence | Nouvelle condition pour que les prestataires de services fournissent l’accord/reconnaissance écrit à leur client conformément à l'exigence spécifique 12.8. Entrée en vigueur au 1er juillet 2015 | |
| 12.9.x | 12.10.x | Clarification | Nouvelle numérotation et mise à jour de l’exigence 12.10.5 pour clarifier le fait que son objectif est que les alertes des systèmes de surveillance de sécurité soient incluses dans le plan de réponse aux incidents. |
En espérant que l’ensemble de ces articles puisse vous apportez l’éclairage suffisant pour basculer dans la version 3.0 du standard PCI DSS en souplesse.
Enjoy and May the Force be with you young padawan
