Avoir une approche pragmatique de la présence d'un réseau sans fil dans un environnement PCI DSS
Cette question revient à chaque fois que l’on démarre le processus de certification avec les auditeurs QSA. « Avez vous un réseau Wifi qui communique avec vos composants PCI et qui transporte du PAN. J’utilise bien entendu le référentiel PCI DSS 3.0 mais aussi un document du PCI SSC qui permet rapidement d’appréhender les quelques pièges des réseaux sans fil…
L’illustration ci-dessus est un exemple de réseau sans fil avec un CDE.
La quasi-omniprésence des réseaux sans fil dans les systèmes d’informations met en avant leur durcissement et ils deviennent une pour les organisations (Commerçants, Providers, Banques…) qui stockent, traitent ou transmettre des données de titulaire de carte (PAN). En réponse, le PCI SSC via le groupe de travail Special Interest Group Conseil
Implementation Team a publié une information supplément appelé PCI DSS Wireless Guideline.
Le but de ce document est d’aider les organisations comprendre comment PCI DSS peut s’appliquer dans un environnement sans fil (Wifi), la manière de limiter le champ d’application tel qu’il se rapporte aux exigences PCI DSS
sur les réseaux sans-fil, et de fournir des méthodes pratiques et les concepts pour le déploiement de réseau sécurisé Wifi dans des environnements de transactions par carte de paiement. Ce document est aussi à destination des auditeurs (QSA, ISA) qui audit des environnements PCI DSS qui souhaitent la conformité. C’est article est un résumé de l’Au-a-Glance qui contient 32 pages directrice.
Les Exigences PCI DSS concernant les réseaux sans fil (Wifi)
Les exigences PCI DSS concernant les réseaux sans fil se rapportent ou non la technologie qui font partie du carte Data Environment (CDE). Le CDE est l’environnement informatique dans lequel sont transférées, traitées ou stockées les données cartes (PAN), ainsi que les réseaux ou périphériques directement connecté à cet environnement.
Le guideline Wireless Compliant PCI DSS répond à ces exigences à partir de deux perspectives liées au CDE:
Les Exigences de sécurité applicable aux réseaux wireless.Ce sont des exigences que toutes les organisations doivent avoir en place pour protéger leurs réseaux contre les attaques externes ou internes sur les points d’accès Wireless. Les exigences PCI s’appliquent aux organisations indépendamment du fait que les réseaux sans fil font partie du CDE ou non. Pour faire court, on doit sécurisé l’ensemble des réseaux qui peuvent permettre l’accès au CDE (y compris le réseau Wifi Bureautique qui permet d’avoir accès aux serveurs de rebond pour aller sur le CDE…). En conséquence, ces exigences sont applicables dans la majorité des entreprises (Commerçants, Provider, Banque…) qui souhaitent se conformer à la norme PCI DSS. On tient plus de la PSSI et de l’hygiène de sécurité informatique…
Les Exigences applicables dans le scope PCI avec des réseaux sans fil. Ce sont des exigences que tous les organisations qui transmettent des informations de carte de paiement sur la technologie sans fil devraient avoir mis en oeuvre pour protéger ces systèmes. Ils sont spécifiques à l’utilisation des technologies sans fil qui se trouve dans champ d’application de la conformité PCI DSS, à savoir l’environnement de données du titulaire de carte. Ces exigences appliquent en plus à l’ensemble universellement applicable des exigences. Cela concerne tous les équipements wireless (TPE, routeurs, PC, Point d’accès, Caméras…qui sont présent dans le CDE).
Le guide Wireless compliant PCI DSS:
Télécharger le guide ligne about Wireless and compliant PCI DSS.
Cette note d’orientation fournit des recommandations spécifiques. Je vous recommande fortement d’utiliser ce guide qui permet d’appréhender la présence de réseaux sans fil, y compris des documents de l’autorité et des références externes, glossaire des acronymes le référentiel PCI DSS..
Enjoy PCI DSS with Wireless 🙂
Source du document : https://www.pcisecuritystandards.org/documents/pci_dss_wireless_guideline_info_sup.pdf
