Les premiers pas vers la conformité PCI DSS…suivez le guideDepuis pas mal d’années, je me trouve confronté à chaque fois lors des démarrage de mise en conformité PCI par une question terrible « Comment appréhender PCI sans me perdre dans les dédales de la conformité avec des auditeurs QSA qui peuvent partir très très loin dans…
Identification des Rôles et Responsabilités est la première action à faire….Dans la suite des articles sur le maintien de la conformité PCI DSS, nous allons aborder les rôles et responsabilités de chaque profil de notre environnement PCI DSS. Ce billet n’a pas l’attention de dire il faut faire ça à tout prix mais il correspond…
Utiliser un standard ou une norme de sécurité pour faciliter sa conformité PCI DSSLors de l’obtention de la certification PCI DSS après le moment d’euphorie vient une problématique que l’on avait mis de coté. Comment maintenir ma certification pour permettre son renouvellement. Votre QSA pense déjà à sa nouvelle mercedes et votre N+1 à N+10 veut…
Maintenir une politique qui adresse les informations de sécurité pour l’ensemble du personnelVoila enfin le dernier article sur les différences entre la version 2.0 et 3.0 du standard PCI DSS. La gestion d’une politique de sécurité des informations. Une politique de sécurité robuste définit la sécurité mise en oeuvre à l’échelle de l’entreprise et indique…
Tester régulièrement les processus et les systèmes de sécuritéLe chapitre 11 du standard PCI DSS apporte quelques exigences supplémentaires. Des vulnérabilités sont sans cesse découvertes par des individus malveillants et des chercheurs, et sont introduites avec tout nouveau logiciel dans le CDE. Les composants du système, les processus et les logiciels personnalisés doivent être fréquemment…
Effectuer le suivi et surveiller tous les accès aux ressources réseau et aux données du titulaireNous continuons notre aventure sur les différences de base entre la version 2.0 et 3.0 du standard PCI DSS. Le chapitre 10 axé sur la surveillance et le suivi de tous les accès aux ressources réseaux. Les mécanismes de journalisation…
Restreindre l’accès physique aux données du titulaireMon chapitre préféré car je retrouve mes origines DataCenters. C’est aussi le chapitre le plus cool de PCI DSS (pas le moins cher non plus). Dans la mesure où tout accès physique à des données ou à des systèmes hébergeant des données du titulaire permet à des individus d’accéder…
Identifier et authentifier l’accès aux composants du systèmeLe chapitre 8 du standard PCI DSS » Identifier et authentifier ». Un des chapitres les plus importants du standard PCI DSS. En affectant un identifiant (ID) unique à chaque personne ayant un accès, on s’assure que chaque individu sera personnellement responsable de ses actes. Lorsque cette responsabilité est…
Mise en oeuvre de mesure de contrôle d’accès strictesLe chapitre 7 du standard PCI DSS demande de restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaitre. Pour veiller à ce que les données stratégiques ne soient accessibles qu’au seul personne autorisé, des systèmes et des processus doivent être mis en place…
Développer et gérer des systèmes et des applications sécurisésLe chapitre 6 du standard PCI DSS apporte un éclairage sur le fait que des individus sans scrupules peuvent exploiter les points faibles de la sécurité des applications pour obtenir un accès privilégiés à celles-ci.Le standard PCI DSS version 3.0 apporte pas mal de clarification sur l’interprétation…
