PCI DSS – Chapitre 9 – Différences entre la version 2.0 et 3.0

Restreindre l’accès physique aux données du titulaire

pci2Mon chapitre préféré car je retrouve mes origines DataCenters. C’est aussi le chapitre le plus cool de PCI DSS (pas le moins cher non plus). Dans la mesure où tout accès physique à des données ou à des systèmes hébergeant des données du titulaire permet à des individus d’accéder à des périphériques ou à des informations, et de supprimer des systèmes ou des copies papier, cet accès doit être restreint de façon appropriée.

Dans le cadre du chapitre 9, le terme « personnel du site » désigne les employés à temps plein et à temps partiel, les intérimaires ainsi que les sous-traitants et les consultants qui « résident » sur le site de l’entité. Un « visiteur » est défini comme un fournisseur, l’hôte du personnel du site, le personnel de service ou tout individu présent au sein des locaux pendant une période courte, n’excédant généralement pas une journée. « Support » se rapporte à tout support papier ou électronique contenant des données du titulaire.

Exigence PCI DSS 2.0Exigence PCI DSS 3.0Type de modificationDescription de la modification
9.1.29.1.2ClarificationÉclairage de l'objectif de l'exigence qui d'implémenter des contrôles d'accès physique et/ou logiques pour protéger les prises réseaux accessibles aux public.
9.2.x9.2.xClarificationClarification de l'objectif de l'exigence d'identification, de distinction et d'octroi d'accès au personnel du site et aux visiteurs et les badges ne sont qu'une option (ils ne sont pas requis).
9.3Évolution 3.0Nouvelle exigence de contrôle de l'accès physique aux zones sensibles pour le personnel du site, y compris un processus d'autorisation et de révocation d'accès immédiatement après la cessation d'activité de l'employé.
9.3.x9.4.xClarificationAlignement de la terminologie entre l'exigence et les procédures de test par souci de cohérence et pour clarifier le fait que les visiteurs doivent être accompagnés en tout temps et que le cheminement d'Audit des activités du visiteur doit comprendre l'accès à l'installation, la salle informatique et/ou le centre de données.
9.5 - 9-109.5 - 9.8ClarificationL'ancienne exigence 9.6 est déplacée et sa numérotation est changée pour 9.5, la numérotation de l'ancienne exigence 9.5 est aussi changée, elle devient la 9.5.1.
La numérotation de l'ancienne condition 9.7 devient la 9.6, l'exigence 9.8 est changée, elle devient la 9.6.3.
La numérotation de l'exigence 9.9 est changée pour 9.7 et enfin la 9.10 est changé en 9.8. (Ouf c'est fini !)
9.9.xÉvolution 3.0Nouvelle exigence quand à la protection des dispositifs qui capturent les données de carte de paiement par interaction physique directe avec la carte (Manipulations malveillantes et substitutions). Entrée en vigueur au 1er Juillet 2015!!!

Facile….c’est le plus fun à mettre en oeuvre 🙂