Les informations sensibles doivent être cryptées pendant leur transmission sur des réseaux accessibles à des individus malveillants. Les réseaux sans fil mal configurés et les vulnérabilités dans les protocoles traditionnels de cryptage et d’authentification sont les cibles permanentes des individus malveillants qui profitent de ces faiblesses pour obtenir un accès privilégié aux environnements des données du titulaire.
CONDITIONS PCI DSS PROCÉDURES DE TEST DIRECTIVE
4.1 Utiliser des protocoles de sécurité et de cryptographie robustes (par exemple, SSL/TLS, IPSEC, SSH, etc.) afin de protéger les données sensibles du titulaire durant la transmission sur des réseaux publics ouverts, y compris :
• Seuls des clés et certificats approuvés sont acceptés.
• Le protocole utilisé prend uniquement en charge les versions ou configurations sécurisées.
• La force du cryptage est appropriée pour la méthodologie de cryptage employée.
Voici quelques exemples, parmi d’autres, de réseaux publics ouverts :
• Internet,
4.1.a Identifier tous les emplacements où les données du titulaire sont transmises ou reçues sur des réseaux publics ouverts. Examiner les normes documentées et comparer aux configurations de système pour vérifier l’utilisation de protocoles de sécurité et l’utilisation d’une cryptographie robuste pour tous les emplacements.
Les informations sensibles doivent être cryptées durant leur transmission sur des réseaux publics, car il est facile et courant qu’un individu malveillant les intercepte et/ou les détourne pendant cette opération.
La transmission sécurisée des données du titulaire nécessite des clés/certificats fiables, un protocole sécurisé pour le transport et un cryptage d’une force suffisante pour le codage des données du titulaire. Les demandes de connexion de systèmes qui ne prennent pas en charge le cryptage de la robustesse requise, et qui provoquerait une connexion non sécurisée, ne doit pas être accepté.
Noter que l’implémentation de certains protocoles (tels que SSL version 2.0, SSH version 1.0 et TLS 1.0) a des vulnérabilités connues qu’un pirate 4.1.b Examiner les politiques et procédures documentées pour
vérifier que des processus sont documentés pour les points suivants :
• Pour l’acceptation exclusive des clés/certificats approuvés
• Pour que le protocole utilisé prenne uniquement en charge les versions ou configurations sécurisées (pour que les versions ou configurations non sécurisées ne soient pas prises en charge)
• Pour l’implémentation d’un niveau de cryptage approprié pour la méthodologie de cryptage employée
CONDITIONS PCI DSS PROCÉDURES DE TEST DIRECTIVE
• Technologies sans fil, y compris 802.11 et Bluetooth
• Les technologies cellulaires, par exemple, Système global pour les communications mobiles (GSM), Accès multiple de division de code (CDMA)
• GPRS (General Packet Radio Service).
• Communications par satellite.
4.1.c Sélectionner et examiner un échantillon de transmissions entrantes et sortantes pendant qu’elles s’exécutent afin de vérifier que les données du titulaire sont cryptées à l’aide d’une cryptographie robuste pendant le transfert.
peut utiliser pour obtenir le contrôle du système affecté. Quel que soit le protocole de sécurité utilisé, s’assurer qu’il est configuré de manière à n’utiliser que des configurations et versions sécurisées pour empêcher l’utilisation d’une connexion non sécurisée. Par exemple, les certificats TLS v1.1 ou ultérieurs, obtenus auprès d’une autorité de certification publique reconnue et qui prennent uniquement en charge un cryptage robuste, peuvent être considérés.
Vérifier que les certificats sont des certificats de confiance (par exemple, qu’ils ne sont pas arrivés à expiration et qu’ils proviennent d’une source autorisée) aide à assurer l’intégrité de la connexion sécurisée.
4.1.d Examiner les clés et les certificats pour vérifier que seuls des clés/certificats approuvés sont acceptés.
4.1.e Examiner les configurations de système pour vérifier que le protocole est déployé de manière à n’utiliser que des configurations sécurisées et qu’il ne prend en charge aucune version ou configuration non sécurisée.
4.1.f Examiner les configurations du système pour vérifier que le niveau de cryptage approprié est mis en œuvre pour la méthodologie de cryptage employée. (Vérifier les recommandations/meilleures pratiques du fournisseur.)
4.1.g Pour les implémentations SSL/TLS, examiner les configurations de système pour vérifier que SSL/TLS est activé lorsque les données du titulaire sont transmises ou reçues.
Par exemple, pour les implémentations basées sur le navigateur :
• La mention « HTTPS » apparaît comme protocole de l’adresse URL (Universal Record Locator, localisateur uniforme de ressource) du navigateur et
• Les données du titulaire sont uniquement requises lorsque la mention « HTTPS » apparaît dans l’adresse URL.
Généralement, l’URL de la page Web doit commencer par « HTTPS » et/ou une icône de cadenas apparaît dans la fenêtre du navigateur.
De nombreux fournisseurs de certificats SSL apportent également un sceau de vérification haute visibilité, parfois dénommé « sceau de sécurité », « sceau de site sécurisé », ou « sceau de sécurisation de confiance », qui est susceptible de donner la possibilité de cliquer sur le sceau pour afficher des informations concernant le site Web.
PCI (Industrie des cartes de paiement) Norme de sécurité des données, v3.0 Page 49
CONDITIONS PCI DSS PROCÉDURES DE TEST DIRECTIVE
4.1.1 S’assurer que les réseaux sans-fil sur lesquels sont transmises les données du titulaire ou qui sont connectés à l’environnement des données du titulaire mettent en œuvre les meilleures pratiques du secteur (par exemple, IEEE 802.11i) pour appliquer un cryptage robuste pour l’authentification et la transmission.
Remarque : L’utilisation du protocole WEP comme contrôle de sécurité est interdite.
4.1.1 Identifier tous les réseaux sans fil qui transmettent des données du titulaire ou qui sont connectés à l’environnement de données du titulaire. Examiner les normes documentées et comparer aux réglages de configurations de système pour vérifier les points suivants pour tous les réseaux sans fil identifiés :
• Les meilleures pratiques du secteur (par exemple, IEEE 802.11i) sont utilisées pour l’implémentation d’un cryptage robuste à l’authentification et la transmission.
• Aucun cryptage faible (par exemple WEP, SSL version 2.0 ou antérieure) n’est utilisé comme contrôle de sécurité pour l’authentification ou la transmission.
Les utilisateurs malveillants emploient des outils gratuits et largement répandus pour écouter les communications sans fil. L’utilisation d’une cryptographie robuste peut aider à limiter la divulgation d’informations sensibles sur les réseaux sans fil.
Une cryptographie robuste pour l’authentification et la transmission des données du titulaire est obligatoire pour empêcher les utilisateurs malveillants d’accéder au réseau sans fil ou d’utiliser les réseaux sans fil pour accéder à d’autres données ou réseaux internes.
4.2 Ne jamais envoyer de PAN non protégé à l’aide de technologies de messagerie pour les utilisateurs finaux (par exemple e-mail, messagerie instantanée, chat, etc.).
4.2.a Si des technologies de messagerie d’un utilisateur final sont utilisées, observer les processus d’envoi de PAN et examiner un échantillon de transmissions sortantes lorsqu’elles ont lieu pour vérifier que le PAN est rendu illisible ou sécurisé par une cryptographie robuste chaque fois qu’il est envoyé à l’aide de technologies de messagerie d’utilisateurs finaux.
La messagerie électronique, la messagerie instantanée et le chat peuvent être facilement interceptés par reniflage de paquets durant le l’envoi aux réseaux internes et publics. N’utiliser ces outils de messagerie pour envoyer de PAN à moins qu’ils ne soient configurés pour intégrer des fonctions de cryptage robustes.
4.2.b Examiner les politiques écrites pour vérifier l’existence d’une politique interdisant la transmission de PAN non protégé à l’aide de technologies de messagerie d’utilisateurs finaux.
4.3 Assurer que les politiques de sécurité et les procédures opérationnelles pour le cryptage des données du titulaire sont documentées, utilisées et connues de toutes les parties concernées.
4.3 Examiner la documentation et interroger le personnel pour vérifier que les politiques de sécurité et les procédures opérationnelles pour la protection des données du titulaire stockées sont :
• Documentées,
• Utilisées et
• Connues de toutes les parties concernées.
Le personnel doit être conscient et suivre les politiques de sécurité et les procédures opérationnelles pour la gestion de la transmission sécurisée des données du titulaire sur une base continuelle.