PCI DSS – Chapitre 5 Différences entre la version 2.0 et 3.0

Protéger l'ensemble des systèmes contre les logiciels malveillants...utopie ou saint Graal de PCI DSS !

pci2Le chapitre 5 du standard de sécurité PCI DSS contient l’ensemble des exigences pour utiliser et maintenir les logiciels anti-virus. Dans la nouvelle version du standard, nous n’aurons un changement majeur sur le titre du chapitre 5 : Protéger tous les systèmes contre les logiciels malveillants

Le tableau ci-dessous nous éclaire sur le sujet. Notons que l’on doit justifier sur les systèmes ouverts (AIX, HP-UX…) la non présence d’anti-virus et l’autorisation par la hiérarchie de pouvoir désactiver l’anti-virus sur le composant.

Exigences PCI DSS 2.0Exigences PCI DSS 3.0Type de modificationDescription détaillée
Chapitre 5ClarificationMise à jour du titre du chapitre "protéger tous les systèmes contre les logiciels malveillants".
5.1.2Évolution de l'exigenceNouvelle exigence pour évaluer de la menace des logiciels malveillants pour tout système n'étant pas considéré comme étant généralement affecté par les logiciels malveillants.
5.25.2ClarificationAlignement de la terminologie entre la condition et les procédures de test à fin de cohérence.
5.3Évolution de l'exigenceNouvelle exigence pour s'assurer que les solutions anti-virus fonctionnent de manière active (anciennement exigence 5.2) et ne peuvent pas être désactivés ou altérés par les utilisateurs sauf autorisation spécifique au cas par cas.