10.6 Examiner les journaux pour toutes les composantes des systèmes au moins quotidiennement. Les examens de journaux doivent englober les serveurs remplissant des fonctions de sécurité, tels que les systèmes de détection d’intrusion (Intrusion Detection System, IDS) et les serveurs authentification, d’autorisation et de protocole comptable (AAA) (par exemple, RADIUS).
Remarque : des outils d'exploitation de journal, d'analyse et d’alerte peuvent être utilisés pour assurer la conformité à l'Exigence 10.6.
10.6.a Obtenir et étudier les politiques et procédures en matière de sécurité pour vérifier qu'elles incluent des procédures de vérification des journaux de sécurité au moins quotidiennement et qu'un suivi des exceptions est requis.
10.6.b Par des observations et des entretiens, s’assurer que des examens réguliers des journaux sont réalisés pour l’ensemble des composants du système.
10.7 Conserver l’historique de piste de vérification durant au moins un an, avec un minimum de trois mois de disponibilité en ligne.
10,7.a Obtenir et étudier les politiques et procédures en matière de sécurité et s’assurer qu’elles incluent des politiques relatives à la conservation des registres de vérification durant au moins un an.
10.7.b Vérifier que des journaux de vérification sont disponibles en ligne ou sur bande durant au moins un an.
11
èmeexigence : tester régulièrement les systèmes et procédures de sécurité
Des vulnérabilités sont constamment découvertes par des pirates et chercheurs, et sont introduites par de nouveaux logiciels. Les systèmes, procédés et logiciels personnalisés doivent être testés fréquemment pour vérifier que la sécurité est assurée dans la durée, ainsi qu'en liaison avec toutes modifications du logiciel.
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN 11.1 Tester annuellement les contrôles de
sécurité, limitations, connexions de réseau et restriction pour assurer la capacité à identifier de manière adéquate et à bloquer toutes tentatives d’accès non autorisé. Utiliser un analyseur sans fil au moins une fois par trimestre afin d’identifier tous les dispositifs sans fil utilisés.
11.1.a Vérifier, par des entretiens avec le personnel de sécurité, ainsi qu’en examinant le code, les documents et les processus pertinents, que des tests de sécurité des appareils ont été mis en place, pour que des contrôles identifient et stoppent les tentatives d'accès non autorisé dans l'environnement de titulaire de carte.
11.1.b Vérifier qu’un analyseur sans fil est utilisé, au moins une fois par trimestre, afin d’identifier l'ensemble des dispositifs sans fil.
11.2 Réaliser des balayages de vulnérabilité de réseau, internes et externes, au moins une fois par trimestre, ainsi qu’après toute modification importante du réseau (telles que l’installation de nouvelles composantes de système, les modifications de la topologie du réseau, les changements des règles du pare-feu, les mises à jour de produit).
Remarque : les balayages de vulnérabilité externe doivent être assurés par un
prestataire agréé par l'industrie de la carte de paiement. Les balayages réalisés après des modifications apportées au réseau peuvent être effectués par les collaborateurs internes de la société.
11.2.a Étudier le résultat des balayages de
vulnérabilité de réseau, d'hôte et d'application pour les quatre trimestres les plus récents, afin de vérifier que des tests de sécurité des dispositifs dans
l’environnement de titulaire de carte sont
périodiquement effectués. Vérifier que les processus de balayage incluent de nouveaux balayages jusqu’à ce que des résultats « propres » puissent être obtenus.
11.2.b Pour vérifier qu’un balayage externe a lieu sur une base trimestrielle, conformément aux Procédures de balayage de sécurité de PCI, étudier le résultat des balayages de vulnérabilité externes pour les quatre trimestres les plus récents, afin de vérifier que :
• quatre balayages trimestriels ont eu lieu au cours de la période de 12 mois la plus récente ;
• les résultats de chaque balayage sont conformes aux Procédures de PCI en matière de balayage de sécurité) ;
• les balayages ont été effectués par un prestataire agréé pour mettre en œuvre les Procédures de PCI en matière de balayage de sécurité.
11.3 Réaliser des tests de pénétration au moins une fois par an, ainsi qu’après toute modification ou actualisation significative de l'infrastructure ou de l'application (par exemple, une mise à jour du système
11.3 Obtenir et étudier les résultats des tests de pénétration les plus récents, afin de vérifier que des tests de pénétration sont réalisés au moins annuellement, ainsi qu’après chaque changement significatif de l’environnement. Vérifier que toutes
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PAS EN PLACE
DATE CIBLE/
COMMENTAIRES d'exploitation, ou l'ajout d'un sous-réseau ou
serveur Internet à l'environnement). Ces tests de pénétration doivent inclure les suivants :
vulnérabilités identifiées ont été corrigées. Vérifier que les tests de pénétration incluent les suivants :
11.3.1 des tests de pénétration de couche de réseau ;
11.3.1 des tests de pénétration de couche de
réseau ;
11.3.2 des tests de pénétration de couche d’application.
11.3.2 des tests de pénétration de couche
d’application.
11.4 Utiliser des systèmes de détection d’intrusion, des systèmes de détection d’intrusion gérés par le système central et des systèmes de prévention d'intrusion, afin de surveiller la totalité du trafic du réseau et de prévenir le personnel en cas d'éventuelles atteintes à la sécurité. Tenir à jour tous les moteurs de détection et de prévention d'intrusions.
11.4.a Observer l’utilisation, en liaison avec le réseau, de systèmes de détection d’intrusion dans le réseau et/ou de systèmes de prévention d’intrusion. Vérifier que la totalité du trafic critique du réseau dans l’environnement de données de titulaire de carte est surveillé.
11.4.b Vérifier qu’un système de détection d’intrusion ou un système de prévention d’intrusion est en place pour surveiller et alerter les personnels d’éventuelles atteintes à la sécurité.
11.4.c Étudier les configurations des systèmes de détection d’intrusion/système de prévention d’intrusion et vérifier que les systèmes de détection d’intrusion ou systèmes de prévention d’intrusion sont configurés, maintenus et mis à jour, conformément aux instructions du fournisseur/prestataire, afin de garantir une protection optimale.
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN PLACE
PAS EN PLACE
DATE CIBLE/
COMMENTAIRES 11.5 Déployer un logiciel de surveillance
d’intégrité de fichier afin d’alerter les personnels en cas de modification non autorisée d’un système critique ou de fichiers de contenu ; et configurer le logiciel pour la réalisation, au moins une fois par semaine, d'une comparaison de fichiers critiques.
Les fichiers critiques ne sont pas nécessairement uniquement ceux qui contiennent des données de titulaire de carte.
Aux fins de surveillance de l’intégrité des fichiers, les fichiers critiques sont d’ordinaire ceux qui ne changent pas régulièrement, mais dont la modification pourrait indiquer une atteinte à la sécurité du système, ou un risque d’atteinte. Les produits de surveillance de l’intégrité de fichier sont généralement livrés préconfigurés, avec les fichiers critiques pour le système d'exploitation lié. D’autres fichiers critiques, tels que ceux se rapportant à des applications personnalisées, peuvent être évalués et définis par l'entité (qu'il s'agisse d'un commerçant ou d'un prestataire de services).
11.5 Vérifier l’utilisation de produits de surveillance de l’intégrité de fichiers dans l’environnement de données de titulaire de carte, en observant les paramètres du système et les fichiers surveillés, ainsi qu’en étudiant les résultats des activités surveillées.