Protéger l'ensemble des systèmes contre les logiciels malveillants...utopie ou saint Graal de PCI DSS !
Le chapitre 5 du standard de sécurité PCI DSS contient l’ensemble des exigences pour utiliser et maintenir les logiciels anti-virus. Dans la nouvelle version du standard, nous n’aurons un changement majeur sur le titre du chapitre 5 : Protéger tous les systèmes contre les logiciels malveillants
Le tableau ci-dessous nous éclaire sur le sujet. Notons que l’on doit justifier sur les systèmes ouverts (AIX, HP-UX…) la non présence d’anti-virus et l’autorisation par la hiérarchie de pouvoir désactiver l’anti-virus sur le composant.
| Exigences PCI DSS 2.0 | Exigences PCI DSS 3.0 | Type de modification | Description détaillée |
|---|---|---|---|
| Chapitre 5 | Clarification | Mise à jour du titre du chapitre "protéger tous les systèmes contre les logiciels malveillants". | |
| 5.1.2 | Évolution de l'exigence | Nouvelle exigence pour évaluer de la menace des logiciels malveillants pour tout système n'étant pas considéré comme étant généralement affecté par les logiciels malveillants. | |
| 5.2 | 5.2 | Clarification | Alignement de la terminologie entre la condition et les procédures de test à fin de cohérence. |
| 5.3 | Évolution de l'exigence | Nouvelle exigence pour s'assurer que les solutions anti-virus fonctionnent de manière active (anciennement exigence 5.2) et ne peuvent pas être désactivés ou altérés par les utilisateurs sauf autorisation spécifique au cas par cas. |
