PCI DSS – Chapitre 8 Différences entre la version 2.0 et 3.0

Identifier et authentifier l'accès aux composants du système

pci2Le chapitre 8 du standard PCI DSS  » Identifier et authentifier ».

Un des chapitres les plus importants du standard PCI DSS. En affectant un identifiant (ID) unique à chaque personne ayant un accès, on s’assure que chaque individu sera personnellement responsable de ses actes. Lorsque cette responsabilité est en place, les actions prises sur des données et des systèmes stratégiques sont effectuées par, et peuvent être retracées, des utilisateurs et des processus connus et autorisés.

L’efficacité d’un mot de passe est fortement déterminée par la conception et l’implémentation du système d’authentification, particulièrement, la fréquence avec laquelle les tentatives de mot de passe peuvent être faites par un pirate et les méthodes de sécurité utilisées pour protéger les mots de passe au point d’entrée, pendant la transmission et le stockage.

Pour faire court, l’identification et l’authentification sont les bases de la sécurité de votre plateforme PCI DSS.

Le tableau ci-dessous apporte les clarifications sur le chapitre 8 dans la version 3.0 du standard.

Exigence PCI DSS 2.0Exigence PCI DSS 3.0Type de modificationDescription de la modification
88ClarificationLe chapitre 8 à été mis à jour dans son titre car il reflète les exigences l'objectif de celui-ci (Identifier et authentifier tous les accès aux composants du système).
Certaines exigences ont étés mises à jour et réorganisées pour apporter une approche plus globale de l'authentification et l'identification de l'utilisateur:
8.1 Centré sur l'identification de l'utilisateur.
8.2 Centré sur l'authentification de l'utilisateur.
Mise à jour des conditions pour prendre en compte les méthodes d'identifications autres que les mots de passe.
Clarification du fait que les exigences de sécurité de mot de passe s'appliquent aux comptes utilisés par les fournisseurs tiers.
8.5.68.1.5ClarificationPrécision et éclairage sur l'exigence dans le cadre de fournisseur distant s'applique aux fournisseurs qui accèdent, assurent l'assistance ou la maintenance de composants du système et qu'elles doivent être désactivée lorsqu'elle n'est pas utilisée.
8.4.28.2.1ClarificationLa cryptographie doit avoir un niveau de durcissement fort pour rendre les justificatifs d'authentification illisibles pendant la transmission et le stockage.
8.5.28.2.2ClarificationL'identité de l'utilisateur doit être vérifiée avant de modifier les justificatifs d'authentifications et ajouts de nouvelles dispositions relatives aux jetons et à la production de nouvelles clés comme exemples de modifications.
8.5.10
8.5.11
8.2.3Évolution 3.0Exigences croisées complexes et durcissement de mot de passe dans une seule exigence et offre une meilleure flexibilité pour les alternatives qui respectent le durcissement et la complexité équivalente.
8.38.3ClarificationPrécision sur cette exigence selon laquelle l'authentification a deux facteurs qui s'applique à tous les utilisateurs, administrateurs et tous les tiers y compris pour l'accès du fournisseur à fin d'assistance ou de maintenance.
8.5.78.4ClarificationAmélioration de l'exigence pour inclure la documentation des directives portant sur comment les utilisateurs doivent protéger leurs justificatifs d'authentification, y compris la réutilisation de mot de passe et le changement du mot de passe s'il est compris.
8.5.1Évolution 3.0Nouvelle exigence pour que les prestataires de services avec un accès à distance aux locaux du client pour l'utilisation unique des justificatifs d'authentification pour chaque client.
8.6Évolution 3.0Nouvelle exigence pour laquelle d'autres mécanismes d'authentification sont utilisés (Par exemple jeton de sécurité logiques ou physiques, cartes électroniques, certificats, etc...) que les mécanismes doivent être reliés à un compte individuel et garantir que seul l'utilisateur voulu puisse obtenir l'accès à ce mécanisme.
8.5.168.7ClarificationAlignement de terminologie entre l'exigence et les procédures de test à fin de cohérence.

Cela va être compliqué sur les baies de stockage EMC2 type VMAX 🙁

Enjoy and be cool