Protéger l’ensemble des systèmes contre les logiciels malveillants…utopie ou saint Graal de PCI DSS !Le chapitre 5 du standard de sécurité PCI DSS contient l’ensemble des exigences pour utiliser et maintenir les logiciels anti-virus. Dans la nouvelle version du standard, nous n’aurons un changement majeur sur le titre du chapitre 5 : Protéger tous les…
Chiffrer les connexions aux systèmes d’informations qui permettent d’avoir les données cartes sur les réseaux publiques.Le chapitre 4 du standard de sécurité PCI DSS contient l’ensemble des exigences de chiffrement de connexion aux systèmes d’informations contenant des données sur les réseaux publiques. Dans la nouvelle version du standard, nous n’aurons qu’un seul éclairage de la…
Sécurisé le stockage des données cartes.Le chapitre 3 du standard de sécurité PCI DSS contient l’ensemble des exigences sur la sécurisation du stockage des données cartes. Dans la nouvelle version du standard, je vous propose de passer en revue les changements entre la 2.0 et la 3.0 sur ce point précis.
Beaucoup de clarification sur ce chapitre mais qui reste dans l’esprit PCI DSSNous continuons notre voyage sur les différences entre la version 2.0 et 3.0 sur le standard PCI DSS. Le Chapitre 2: Ne pas utiliser les appliances et logiciels avec les paramètres de sécurité et mot de passe par défaut. On ne rigole pas…
Le chapitre 1 du standard de sécurité PCI DSS contient l’ensemble des exigences sur l’Installation et la maintenance des configurations Firewall qui protègent le CDE (Card Dataholder Environment). Dans la nouvelle version du standard, je vous propose de passer en revue les changements entre la 2.0 et la 3.0.
Les principaux changements entre la version 2.0 et 3.0 de PCI DSSLe PCI Council nous demande la conformité PCI DSS en version 3.0 à partir du 1er Janvier 2015. Ce nouveau standard remplace l’ancien depuis la sortie de la version 3.0 en Novembre 2013. Quelques nouveautés et pas mal de clarification sur les exigences.
Pour information la liste des mots les plus couramment utilisés…Après une conversation avec mon RSSI et quelques responsables applicatifs…il me semble bon de faire un rappel sur les 500 mots de passes les plus utilisés sur les systèmes d’informations. Le compte utilisateur et le mot de passe sont les premières surfaces d’attaques et on se…
Shellshock est une vulnérabilité critique dans GNU Bash. Il est temps de patcher ces serveur Open.Depuis maintenant quelques jours on constate une faille au plus haut niveau sur les listes des CVE sur un composant présent sur la majorité des systèmes ouverts (Unix, Linux, Mac OS…), le bash. Dans le cadre du maintien de la…
PA-DSS ne fait pas tout dans le cadre d’une certification PCI DSSDepuis le début de mes projets PCI DSS, il y a des raccourcis qui ont la vie dure et en particulier le fait qu’une application certifiée PA-DSS permette d’obtenir la conformité PCI DSS sans le moindre effort. Il est temps de faire un éclairage…
Prendre en compte les exigences PCI DSS en cas d’un choix externe de son DataCenterLors de l’implémentation de la bulle PCI DSS, vous serez confronté aux choix de votre centre de données. La solution retenue devra prendre en compte le chapitre 9 bien entendu et si vous prenez le choix d’externaliser votre salle blanche chez…
