L’attribution d’un identifiant unique (identité d’utilisateur) à chaque personne disposant d’un accès garantit que les actions concernant des données et systèmes critiques seront exécutées par des utilisateurs connus et dûment autorisés, et en assure la traçabilité.
EXIGENCES DES NORMES PCI
DSS PROCÉDURES DE TEST EN
utilisateurs par un nom d’utilisateur unique avant de les autoriser à accéder aux composants du système ou aux données de titulaires de carte.
8.1 Pour un échantillon d’identités d’utilisateur, étudier les listes d’identité d’utilisateurs et vérifier que tous les utilisateurs disposent d’un nom d’utilisateur unique pour accéder aux composants ou à des données de titulaire de carte.
8.2 En plus de l’attribution d’une identité d’utilisateur unique, employer au moins l’une des méthodes ci-après pour identifier l’ensemble des utilisateurs :
• mot de passe ;
• jetons (par exemple, SecureID, certificats ou clé publique) ;
• biométrie.
8.2 Pour vérifier que les utilisateurs sont authentifiés à l’aide d’une identité d’utilisateur unique, ainsi que d’éléments d’authentification supplémentaires (par exemple, un mot de passe), lors de l’accès à l’environnement de titulaire de carte, effectuer les démarches suivantes :
• collecter et étudier des documents décrivant la ou les modes d’authentification utilisés ;
• pour chaque type de mode d’authentification utilisé, de même que pour chaque type de composant du système, observer le déroulement d'une procédure d'authentification afin de s'assurer que l’authentification se déroule bien conformément à la ou aux modes d’authentification décrits par écrit.
8.3 Mettre en œuvre une authentification à deux facteurs pour l'accès distant au réseau par des employés, administrateurs et tiers. Utiliser des technologies telles que l’authentification à distance et un service de renseignement par téléphone (RADIUS) ou un système de contrôle d’accès de contrôleur d’accès au terminal (Terminal Access Controller Access Control
8.3 Pour vérifier qu’une authentification à deux facteurs est mise en œuvre pour tous les accès distants au réseau, observer un employé (par exemple, un administrateur) se connecter à distance au réseau et vérifier qu’un mot de passe et un élément d'authentification
supplémentaire (carte à puce, jeton PIN) sont effectivement requis.
EXIGENCES DES NORMES PCI
DSS PROCÉDURES DE TEST EN
PLACE
PAS EN PLACE
DATE CIBLE/
COMMENTAIRE S System, TACACS) avec des
jetons ; ou VPN (basé sur SSL/TLS ou IPSEC) avec des certificats individuels.
8.4 Crypter tous les mots de passe pour leur transmission et leur stockage sur tous les composants du système.
8,4.a Pour un échantillon de composants du système, de serveurs critiques et de points d’accès sans fil, examiner les fichiers mots de passe afin de vérifier que ces derniers sont illisibles.
8,4.b Pour les Prestataires de services uniquement, vérifier les fichiers de mot de passe pour s’assurer que les mots de passe du client sont cryptés.
EXIGENCES DES NORMES PCI
adéquate de l’identification et des mots de passe d’utilisateur pour des utilisateurs non
consommateurs et des administrateurs sur toutes les composantes du système, comme suit :
8.5 Étudier les procédures et interroger des collaborateurs pour s'assurer que les procédures d'authentification d'utilisateur et de gestion de mot de passe sont appliquées, par la mise en œuvre des mesures ci-après :
8.5.1 contrôler l’ajout d'identités d’utilisateur, d’identifiants et d’autres éléments
d’identification, leur suppression et leur modification ;
8.5.1.a Sélectionner un échantillon d’identités d’utilisateurs, y compris d’administrateurs et d’utilisateurs généraux. S’assurer que chaque utilisateur est en droit d’utiliser le système conformément à la politique de la société, en mettant en œuvre les mesures suivantes :
• obtenir et examiner un formulaire d’autorisation pour chaque identité d’utilisateur ;
• vérifier que les identités d’utilisateur incluses dans l'échantillon sont utilisées conformément au formulaire d’autorisation (y compris tous privilèges spécifiés et toutes signatures obtenues) en retraçant l'origine des informations depuis le formulaire d'autorisation jusqu'au système.
8.5.1.b vérifier que seuls des administrateurs ont accès aux consoles de gestion des réseaux sans fil.
8.5.2 vérifier l’identité de l’utilisateur avant de procéder à une réinitialisation de mot de passe ;
8.5.2 Étudier les procédures de mot de passe et observer les personnels en charge de la sécurité pour vérifier que, si un utilisateur demande la réinitialisation d’un mot de passe par téléphone, par courrier électronique, Internet ou autre méthode autre qu’en « face à face », l’identité de l’utilisateur est contrôlée avant la réinitialisation du mot de passe.
8.5.3 mettre en place un mot de passe initial, avec une valeur unique, pour chaque utilisateur et le modifier immédiatement après la première utilisation ;
8.5.3 Examiner les procédures en matière de mot de passe et observer les personnels de sécurité, pour vérifier que les mots de passe initiaux pour les nouveaux utilisateurs ont une valeur unique pour chaque utilisateur et sont modifiés après une première utilisation.
8.5.4 mettre fin immédiatement à l’accès des utilisateurs ayant
8.5.4 Sélectionner un échantillon d’employés licenciés au cours des six mois précédents et étudier les listes d’accès d’utilisateurs
EXIGENCES DES NORMES PCI cessé d’être employés par
l’entreprise ;
courants, afin de vérifier que leurs identités d’utilisateur ont été désactivées ou supprimées.
8.5.5 supprimer les comptes d’utilisateur inactifs au moins tous les 90 jours ;
8.5.5 Pour un échantillon d’identités d’utilisateur, vérifier qu’il n’existe pas de comptes inactifs de plus de 90 jours.
8.5.6 activer les comptes utilisés par des fournisseurs aux fins de maintenance à distance uniquement durant la période nécessaire ;
8.5.6 Vérifier que tous comptes utilisés par des fournisseurs dans le but de supporter et de maintenir des composants de systèmes sont inactifs, activés uniquement lorsque le fournisseur en a besoin et surveillés lors de leur utilisation
8.5.7 communiquer les procédures et politiques en matière de mot de passe à tous les utilisateurs ayant accès aux données de titulaires de carte ;
8.5.7 Interroger les utilisateurs à partir d’un échantillon d’identités d’utilisateur, afin de vérifier qu’ils sont familiarisés avec les procédures et les politiques en matière de mot de passe.
8.5.8 ne pas utiliser de comptes et mots de passe collectifs, partagés ou génériques ;
8.5.8.a Pour un échantillon de composants du système, de serveurs critiques et de points d’accès sans fil, examiner les listes d’identités d’utilisateur afin de vérifier les points suivants :
• que les identités d’utilisateur et les comptes génériques sont désactivés ou supprimés ;
• qu’il n’existe pas identités d’utilisateur partagées pour les activités d’administration du système et les autres fonctions critiques ;
• qu'aucune identité d’utilisateur partagée ou générique n’est utilisée pour administrer des réseaux locaux d’entreprise et dispositifs sans fil.
8.5.8.b Examiner les politiques/procédures en matière de mot de passe, afin de vérifier que les mots de passe collectifs et partagés sont explicitement interdits.
8.5.8.c Interroger les administrateurs du système pour vérifier qu’aucun mot de passe collectif ou partagé n’est distribué, même sur demande.
8.5.9 changer les mots de passe d’utilisateur au moins tous les 90 jours ;
8.5.9 Pour un échantillon de composants du système, de serveurs critiques et de points d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, afin de vérifier que des
EXIGENCES DES NORMES PCI paramètres de mot de passe d’utilisateur sont définis pour mettre les
utilisateurs en demeure de modifier leur mot de passe au moins tous les 90 jours.
Dans le cas des seuls Prestataires de service, examiner les processus internes et les documents du client/d’utilisateur afin de vérifier que les mots de passe des clients doivent être changés périodiquement et que les clients reçoivent des instructions quant aux moments où, et aux circonstances dans lesquelles les mots de passe doivent être modifiés.
8.5.10 exiger que les mots de passe comptent au moins sept caractères ;
8.5.10 Pour un échantillon de composants du système, de serveurs critiques et de points d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, afin de vérifier que des paramètres de mot de passe d’utilisateur sont définis pour que les mots de passe comportent au moins sept caractères.
Dans le cas des seuls Prestataires de service, examiner les processus internes et les documents du client/d’utilisateur afin de vérifier qu’il existe une obligation que les mots de passe des clients comportent au moins sept caractères.
8.5.11 utiliser des mots de passe contenant des caractères à la fois numériques et
alphabétiques ;
8.5.11 Pour un échantillon de composants du système, de serveurs critiques et de points d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, afin de vérifier que des paramètres de mot de passe d’utilisateur sont définis pour que les mots de passe comportent à la fois des caractères numériques et alphabétiques.
Dans le cas des seuls Prestataires de service, examiner les processus internes et les documents du client/d’utilisateur afin de vérifier qu’il existe une obligation que les mots de passe des clients comportent à la fois des caractères numériques et alphabétiques.
8.5.12 ne pas autoriser une personne à soumettre un nouveau mot de passe identique à l’un ou l’autre des quatre derniers mots de passe utilisés par elle ;
8.5.12 Pour un échantillon de composants du système, de serveurs critiques et de points d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, afin de vérifier que des paramètres de mot de passe d’utilisateur sont définis pour qu’un nouveau mot de passe ne puisse être le même que les quatre choisis antérieurement.
Dans le cas des seuls Prestataires de service, examiner les processus internes et les documents du client/d’utilisateur afin de vérifier qu'un nouveau mot de passe d'un client ne puisse être le
EXIGENCES DES NORMES PCI même que les quatre précédents.
8.5.13 limiter le nombre de tentatives d’accès en verrouillant l’identité d’utilisateur après au plus 6 tentatives ;
8.5.13 Pour un échantillon de composants de système, de serveurs critiques et de point d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, pour vérifier que des paramètres de mot de passe prévoient qu'un compte d'utilisateur doit être verrouillé après, au plus, six tentatives de connexion
infructueuses.
Dans le cas des seuls Prestataires de service, examiner les processus internes et les documents du client/d’utilisateur afin de vérifier que les comptes de client sont verrouillés temporairement après, au plus, six tentatives de connexion infructueuses.
8.5.14 fixer la période de verrouillage à trente minutes, ou jusqu'à ce qu'un administrateur active l'identité d'utilisateur ;
8.5.14 Pour un échantillon de composants de système, de serveurs critiques et de point d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, pour vérifier que des paramètres de mot de passe prévoient que lorsque un compte d'utilisateur est verrouillé, il le reste durant trente minutes ou jusqu'à ce qu'un administrateur du système réinitialise le compte.
8.5.15 si une session est inactive depuis plus de 15 minutes, imposer à l’utilisateur de saisir à nouveau son mot de passe pour réactiver le terminal ;
8.5.15 Pour un échantillon de composants de système, de serveurs critiques et de point d’accès sans fil, obtenir et inspecter les paramètres de configuration du système, pour vérifier que des paramètres de mot de passe prévoient que la période d’inactivité du système/de la session a été fixée à 15 minutes au plus.
8.5.16 authentifier tous les accès à toute base de données contenant des données de titulaire de carte. Ceci inclut les accès par les applications, administrateurs et tous les autres utilisateurs.
8.5.16.a Examiner les paramètres de configuration de base de données pour un échantillon de base de données, afin de vérifier que l’accès est authentifié, y compris pour les utilisateurs, applications et administrateurs individuels.
8.5.16.b Examiner les paramètres de configuration de base de données et les comptes de base de données, pour vérifier que les requêtes SQL à la base de données sont interdites (il ne devrait y avoir qu’un nombre très limité de comptes individuels de connexion de base de données. Les requêtes SQL directes doivent être limitées aux administrateurs de base de données.)