Tout accès physique à des données ou système contenant des données de titulaires de carte est l’occasion, pour des individus, d'accéder à des dispositifs ou données et de s'emparer de systèmes ou d'exemplaires papier, et doit de ce fait être limité de manière appropriée.
EXIGENCES DES NORMES PCI
DSS PROCÉDURES DE TEST EN 9.1 Utiliser des contrôles
d’entrée dans les installations appropriés, afin de limiter et de contrôler l’accès physique à des systèmes qui stockent, traitent ou transmettent des données de porteur de carte.
9.1 Vérifier l’existence de contrôles de sécurité physique pour chaque salle informatique, centre de données ou autre espace physique équipé de systèmes contenant des données de titulaire de carte.
• Vérifier que l’accès est contrôlé par des lecteurs de badge et d’autres équipements, y compris des badges autorisés, des verrous et des clés
• Observer une tentative d’administrateur de système pour se connecter à des consoles pour trois systèmes sélectionnés de manière aléatoire dans l'environnement de titulaire de carte et vérifier qu'ils sont « verrouillés » de manière à empêcher toute utilisation non autorisée.
9.1.1 Utiliser des caméras pour surveiller les zones sensibles.
Vérifier les données collectées et les mettre en relation avec d’autres. Sauf interdiction légale, stocker ces données durant au moins trois mois.
9.1.1 Vérifier que des caméras vidéo surveillent les points d’entrée/de sortie des centres de données dans lesquels des données de titulaire de carte sont stockées ou présentes. Les caméras vidéo doivent être placées à l’intérieur du centre de données ou être protégées d'une quelconque autre manière contre les détériorations physiques ou la neutralisation. Vérifier que les caméras sont surveillées et que les données collectées par elles sont stockées durant au moins trois mois.
9.1.2 Limiter l’accès physique aux prises du réseau accessibles publiquement.
9.1.2 Vérifier, en interrogeant des administrateurs de réseau, ainsi que par l’observation, que les prises de réseau ne sont activées que lorsque des employés dûment autorisés à cet effet en ont besoin.
Les salles de conférence destinées à accueillir des visiteurs ne doivent par exemple pas être équipées de ports réseau activés par protocole DHCP. Alternativement, vérifier que les visiteurs sont accompagnés à tout moment lorsqu'ils se trouvent dans des zones équipées de prises de réseau actives.
9.1.3 Limiter l’accès physique aux points d’accès sans fil,
9.1.3 Vérifier que l’accès physique aux points d’accès sans fil,
portails et dispositifs portables est limité de manière appropriée.
EXIGENCES DES NORMES PCI
9.2 Développer des procédures destiner à aider l’ensemble des personnels à faire une distinction entre les employés et les visiteurs, en particulier dans les zones où des données de titulaires de carte sont accessibles.
« Employé » désigne les employés à temps plein et partiel, les salariés et personnels à temps partiel, ainsi que les consultants ayant la qualité de « résident » sur le site de l'entité. Le terme
« visiteur » fait référence aux fournisseurs, invités d’un employé, personnels de service ou à toute personne ayant besoin d’accéder aux locaux pour une brève période, n’excédant généralement pas une journée.
9,2.a Examiner les processus et les procédures d’attribution de badges à des employés, entrepreneurs et visiteurs et vérifier que ces processus incluent les éléments ci-après :
• des procédures existantes en matière d’attribution de nouveaux badges, de modification des critères d’accès et de retrait des badges des employés cessant de travailler pour l'entreprise, ou des badges visiteur expirés ;
• un accès limité au système de badges.
9,2.b Observer les individus dans les locaux afin de vérifier qu’il est
facile de distinguer les employés des visiteurs.
9.3 Faire en sorte que tous les visiteurs soient gérés comme suit :
9.3 Vérifier que des contrôles des employés/visiteurs sont en place comme suit :
9.3.1 que, le cas échéant, une autorisation leur soit délivrée pour leur permettre d’accéder à des zones dans lesquelles des données de titulaire de carte sont traitées ou conservées ;
9.3.1 Observer des visiteurs, pour contrôler l’utilisation par eux des badges d’identité. Tenter d’accéder au centre de données afin de vérifier que le badge d'identification d'un visiteur n'autorise pas l'accès non accompagné à des espaces dans lesquels sont stockées des données de titulaire de carte.
9.3.2 que, le cas échéant, leur soit remis un « laisser-passer » (par exemple, un badge ou un dispositif d’accès) ayant une heure et une date d’expiration, et identifiant les visiteurs comme n'étant pas des employés de
9.3.2 Examiner les badges d’employés et de visiteurs pour vérifier que les badges d’identification distinguent clairement les employés des visiteurs/personnes extérieures et que les badges de visiteur expirent.
EXIGENCES DES NORMES PCI restituer leur « laisser-passer » avant de quitter les installations ou à la date d’expiration.
9.3.3 Observer les visiteurs quittant les installations afin de vérifier s’il leur est demandé de restituer leur badge d’identité à leur départ ou lorsqu’ils arrivent à expiration.
9.4 Utiliser un registre des visiteurs afin de conserver une piste de vérification physique de l’activité du visiteur. À moins que le droit en vigueur ne l’interdise, conserver ce registre durant une période d’au moins trois mois.
9,4.a Vérifier que le registre afférent à un visiteur est utilisé pour enregistrer l’accès physique aux installations, ainsi qu’aux salles informatiques et aux centres de données lorsque des données de titulaire de carte sont stockées ou transmises.
9,4.b Vérifier que le registre contient le nom du visiteur, la société représentée et l’employé autorisant l’accès physique et qu’il est conservé au moins trois mois.
9.5 Stocker les sauvegardes en lieu sûr, de préférence dans des installations hors site, par exemple, sur un site alternatif ou de sauvegarde, ou une installation de stockage commercial.
9.5 Vérifier que le site de stockage pour les sauvegardes de support est sécurisé. S’assurer que le lieu de stockage hors site fait l'objet de contrôles périodiques afin de s’assurer que le stockage des sauvegardes de support est bien sécurisé physiquement et protégé contre les risques d'incendie.
9.6 Assurer la sécurité physique de tous documents papier et supports électroniques (y compris les ordinateurs, supports électroniques, matériel de réseau et de communication, lignes de télécommunications, reçus papier, rapports papier et télécopies) contenant des données de titulaires de carte.
9.6 Vérifier que les procédures de protection des données de titulaire de carte incluent des contrôles pour la sécurisation physique de supports papier et électroniques dans des salles informatiques et des centres de données (y compris des reçus papier, rapports sur support papier, télécopies, CD et disques sur les bureaux des employés et les espaces de travail ouverts, ainsi que les disques durs des PC).
9.7 Assurer un contrôle rigoureux sur la diffusion interne ou externe de tous types de support contenant des données de titulaires de carte, et notamment les éléments suivant :
9.7 Vérifier qu’il existe une politique de contrôle de la distribution de supports contenant des données de titulaire de carte et que la politique prend en compte l’ensemble des supports distribués, y compris ceux mis à la disposition de personnes.
9.7.1 classifier le support pour qu’il puisse être identifié comme confidentiel ;
9.7.1 S’assurer que tous les supports sont classifiés, afin qu'ils
puissent être identifiés comme « confidentiels ».
EXIGENCES DES NORMES PCI 9.7.2 envoyer le support par
service de coursier sécurisé, ou par tout autre mode de livraison permettant un suivi exact.
9.7.2 Vérifier que tous supports envoyés hors de l’installation sont connectés et autorisés par la direction, puis transmis par service de coursier sécurisé ou tout autre mode de livraison permettant un suivi.
9.8 Faire en sorte que la direction autorise la sortie de tout support placé dans une zone sécurisée (en particulier lorsque ce support est destiné à être
communiqué à des personnes).
9.8 Sélectionner un échantillon récent de plusieurs jours de registres de suivi de support hors site et vérifier la présence, dans les registres de détails de suivi et d'autorisations adéquates de la direction.
9.9 Maintenir un contrôle strict sur le stockage et l'accessibilité des médias contenant des données de titulaire de carte.
9.9 Obtenir et étudier la politique en matière de contrôle de stockage et de conservation de supports papier et électronique et s’assurer que cette politique prévoit des inventaires périodiques de support.
9.9.1 Inventorier strictement tous les supports et s’assurer qu’ils sont stockés en sécurité.
9.9.1.a Obtenir et examiner le registre d'inventaire des supports, afin de vérifier que des inventaires périodiques de supports sont réalisés.
9.9.1.b Examiner les processus afin de vérifier que les supports sont stockés en sécurité
9.10 Détruire les supports contenant des données de titulaire de carte lorsqu’ils ne sont plus nécessaires, pour des raisons commerciales ou juridiques, comme suit :
9.10 Obtenir et examiner la politique de destruction périodique de supports et vérifier qu'elle englobe tous supports contenant des données de titulaire de carte et confirmer ce qui suit :
9.10.1 déchiqueter, incinérer ou réduire en pulpe les documents ;
9.10.1.a Vérifier que les documents sous forme de support papier sont déchiquetés ou réduits en pulpe, conformément aux normes ISO 9564-1 ou ISO 11568-3e.
9.10.1.b Examiner les conteneurs de stockage utilisés pour les informations à détruire, afin de s’assurer que les conteneurs sont sécurisés. Par exemple, vérifier qu’un conteneur de « documents à déchiqueter », possède bien une serrure interdisant l’accès à ses contenus.
9.10.2 Éliminer, démagnétiser, déchiqueter ou détruire de toute autre manière tout support électronique, de manière à ce
9.10.2 Vérifier que les supports électroniques sont détruits et que les données qu’ils contenaient ne peuvent être récupérées ; en utilisant un programme d’effacement militaire pour supprimer des fichiers, ou autrement pour démagnétiser ou détruire matériellement les
EXIGENCES DES NORMES PCI
DSS PROCÉDURES DE TEST EN
PLACE
PAS EN PLACE
DATE CIBLE/
COMMENTAIR ES que les données de titulaire de
carte ne puissent être reconstituées.
supports.