Disposer d’une politique en matière de sécurité de l’information
12
èmeexigence : disposer d’une politique prenant en compte la sécurité de l’information pour les employés et sous-traitants
Une solide politique de sécurité donne le ton à l’ensemble de la société et indique aux employés ce qui est attendu d’eux.
Tous les employés doivent être conscients de la sensibilité des données et des responsabilités qui leur incombent en liaison avec leur protection.
EXIGENCES DES NORMES PCI 12.1 Édicter, publier, maintenir en
vigueur et diffuser une politique en matière de sécurité correspondant aux caractéristiques ci-après :
12.1 Étudier la politique de sécurité de l’information et s’assurer que cette politique est publiée et diffusée auprès de l’ensemble des utilisateurs voulus du système (y compris les fournisseurs/prestataires, sous-traitants et partenaires commerciaux).
12.1.1 prenant en compte l’ensemble des exigences contenues dans les présentes spécifications ;
12.1.1 Vérifier que la politique prenne en compte l’ensemble des aspects des présentes spécifications.
12.1.2 comportant un processus annuel d’identification des menaces et vulnérabilités, qui débouche sur une évaluation formelle du risque ;
12.1.2 Vérifier que la politique en matière de sécurité de l’information inclut un processus annuel d’évaluation des risques permettant d’identifier les menaces et vulnérabilités éventuelles et débouchant sur une évaluation formelle du risque.
12.1.3 incluant un examen au moins annuel, ainsi que des mises à jour lorsque l’environnement change.
12.1.3 Vérifier que la politique en matière de sécurité de l’information est examinée au moins annuellement et mise à jour comme nécessaire pour tenir compte de la
modification des objectifs commerciaux ou de l'évolution de l'environnement en matière de risque.
12.2 Développer des procédures de sécurité opérationnelles quotidiennes conformes aux exigences des présentes spécifications (par exemple, des procédures de maintenance de compte d’utilisateur et de vérification de journal).
12.2.a Étudier les procédures de sécurité opérationnelle quotidiennes. S’assurer qu’elles sont conformes à ces spécifications et incluent des procédures administratives et techniques pour chacune des exigences.
12.3 Élaborer des politiques d’utilisation pour les technologies critiques d’interface avec des employés (comme, par exemple, les modems et appareils sans fil) afin de définir une bonne utilisation de ces technologies à l’intention de l’ensemble des employés et sous-traitants. S’assurer que ces politiques régissant l’utilisation comportent les obligations ci-après :
12.3 Obtenir et étudier la politique applicable aux technologies d’interface avec les salariés et vérifier qu'elle inclut les éléments suivants :
12.3.1 l'accord explicite de la 12.3.1 Vérifier que les politiques en matière d’utilisation
EXIGENCES DES NORMES PCI direction ; prévoient l’approbation explicite, par la direction, de
l'utilisation des appareils.
12.3.2 une obligation
d’authentification pour utiliser la technologie ;
12.3.2 Vérifier que les politiques en matière d’utilisation exigent que l’utilisation de tous les appareils soit authentifiée par nom d'utilisateur et mot de passe, ou tout autre élément d'authentification (par exemple, un jeton)
12.3.3 une liste de la totalité des dispositifs et personnels disposant d’un accès ;
12.3.3 Vérifier que les politiques en matière d’utilisation exigent une liste de la totalité des périphériques/appareils, ainsi que des personnels autorisés à les utiliser.
12.3.4 un étiquetage des appareils indiquant l’identité du propriétaire, ses coordonnées et le but de leur utilisation ;
12.3.4 Vérifier que les politiques en matière d’utilisation exigent un étiquetage des appareils indiquant l’identité du propriétaire, ses coordonnées et le but de leur utilisation.
12.3.5 les utilisations acceptables des technologies ;
12.3.5 Vérifier que les politiques en matière d’utilisation exigent que l’utilisation des technologies soit acceptable.
12.3.6 les emplacements de réseau acceptables pour les technologies ;
12.3.6 Vérifier que les politiques en matière d’utilisation exigent que l’utilisation des technologies soit acceptable.
12.3.7 une liste des produits approuvés par la société ;
12.3.7 Vérifier que les politiques en matière d’utilisation exigent une liste des produits approuvés par la société.
12.3.8 une interruption automatique de la session après une période d’inactivité spécifique ;
12.3.8 Vérifier que les politiques en matière d’utilisation exigent une interruption automatique de la session après une période d’inactivité spécifique.
12.3.9 l'activation des modems fournisseurs uniquement lorsque ces derniers en ont besoin, avec désactivation immédiate après utilisation ;
12.3.9 Vérifier que les politiques en matière d’utilisation exigent l'activation des modems fournisseurs uniquement lorsque ces derniers en ont besoin, avec désactivation immédiate après utilisation.
12.3.10 en cas d’accès distant aux données de titulaire de carte via modem, l’interdiction de stocker ces données de titulaire sur disque dur local, disquette ou autre support externe. Indisponibilité des fonctions copier/coller et
d’impression lors de l’accès distant.
12.3.10 Vérifier que les politiques en matière d’utilisation interdisent le stockage de ces données de titulaire sur disque dur local, disquette ou autre support externe lors de l’accès distant à ces données, par modem.
Vérifier que les politiques interdisent les fonctions copier/coller et d’impression lors de l’accès distant.
12.4 Faire en sorte que les politiques et procédures en matière
12.4 Vérifier que les politiques en matière d’utilisation définissent clairement les responsabilités en matière de
EXIGENCES DES NORMES PCI de sécurité définissent clairement les
responsabilités en matière de sécurité de l’information telles qu’elles s’appliquent à l’ensemble des employés et sous-traitants.
sécurité de l’information telles qu’elles s’appliquent à l’ensemble des employés et sous-traitants.
12.5 Attribuer à un individu ou à une équipe les responsabilités ci-après en matière de gestion de la sécurité de l'information :
12.5 Vérifier que la sécurité de l’information est confiée formellement à un Directeur de la sécurité, ou à tout autre membre de la direction compétent dans le domaine de la sécurité. Obtenir et examiner les politiques et procédures en matière de sécurité de l’information, afin de vérifier que les responsabilités ci-après, en matière de sécurité de l’information, sont attribuées de manière spécifique et formelle :
12.5.1 mettre en place, consigner par écrit et diffuser les politiques et procédures en matière de sécurité ;
12.5.1 Vérifier que les responsabilités en matière de création et de diffusion des politiques et procédures en matière de sécurité sont formellement réparties.
12.5.2 surveiller et analyser les informations et alertes dans le domaine de la sécurité, et en assurer la diffusion auprès des collaborateurs compétents ;
12.5.2 Vérifier que la responsabilité de la surveillance et de l’analyse des alertes de sécurité, ainsi que la diffusion de l’information à des collaborateurs compétents en matière de sécurité de l’information et de la direction de l’unité fonctionnelle, sont réparties formellement.
12.5.3 élaborer, consigner par écrit et diffuser des procédures
d’intervention en cas d’incident et de remontée des paliers de décisions en matière de sécurité, afin d’assurer une gestion ponctuelle et efficace de toutes situations ;
12.5.3 Vérifier que les responsabilités en matière de création et de diffusion des politiques et procédures en matière d’intervention d’urgence et de remontée des paliers de décisions sont formellement réparties.
12.5.4 administrer les comptes d’utilisateur, y compris tous ajouts et toutes suppressions ou
modifications ;
12.5.4 Vérifier que les responsabilités en matière d’administration de compte d’utilisateur et de gestion d’authentification sont attribuées formellement.
12.5.5 surveiller et contrôler tous les accès à des données.
12.5.5 Vérifier que les responsabilités en matière de surveillance et de contrôle de l’ensemble des accès aux données sont attribuées formellement.
12.6 Mettre en œuvre un
programme formel de sensibilisation à
12.6.a Vérifier l’existence d’un programme formel de sensibilisation à la sécurité destiné à tous les employés.
EXIGENCES DES NORMES PCI la sécurité pour que tous les
employés soient pleinement conscients de l’importance de la sécurité des données des titulaires de carte :
12.6.b Obtenir et étudier les procédures et documents afférents au programme de sensibilisation et mettre en œuvre les mesures suivantes :
12.6.1 Former les employés lors de leur recrutement et, par la suite, au moins annuellement (par exemple, par courrier, voie d’affichage, mémorandums, réunions et promotions).
12.6.1.a Vérifier que le programme de sensibilisation à la sécurité inclut plusieurs méthodes de sensibilisation et de formation des salariés (par exemple, des affiches, courriers, réunions, etc.)
12.6.1.b Vérifier que tous les employés participent à une formation de sensibilisation à leur arrivée dans l'entreprise et, par la suite, au moins une fois par an.
12.6.2 Exiger les employés qu’ils reconnaissent formellement, par écrit, avoir lu et compris la politique et les procédures de la société en matière de sécurité.
12.6.2 Vérifier que le programme de sensibilisation à la sécurité impose aux employés de reconnaître par écrit qu’ils ont lu et compris la politique de la société en matière de sécurité de l’information.
12.7 Soumettre les employés éventuels à des vérifications afin de minimiser le risque d’attaques de sources internes.
En ce qui concerne les salariés tels que les personnels de caisse de point de vente, qui ont seulement accès à un numéro de carte à la fois, lors de la réalisation d’une transaction, cette exigence a uniquement valeur de recommandation.
12.7 Interroger la direction du département des ressources humaines et vérifier que des contrôles de sécurité sont effectués (conformément aux dispositions du droit local) concernant les employés qui auront accès à des données de titulaire de carte ou à l'environnement de données de titulaire de carte. (Entre autres exemples de vérifications figurent les contrôles préalables au recrutement, demandes d’extrait de casier judiciaire, l’historique de crédit et la vérification des références).
12.8 Si des données de titulaire de carte sont communiquées à des prestataires de services, les mesures ci-après sont impératives :
12.8 Si l’entité faisant l’objet des vérifications partage des données de titulaire de carte avec une autre société, obtenir et examiner les contrats entre l’organisation et tous tiers susceptibles de gérer des données de titulaire de carte (par exemple, des installations de stockage de bandes de sauvegarde, des fournisseurs de services gérés, comme par exemple des sociétés d'hébergement sur Internet ou des fournisseurs de services de sécurité, ou des entités recevant des données à des fins de modélisation de fraude). Mettre en œuvre les mesures suivantes :
EXIGENCES DES NORMES PCI 12.8.1 les prestataires de services
doivent se conformer aux exigences des Normes PCI DSS ;
12.8.1 Vérifier que le contrat contient des dispositions exigeant le respect des Normes PCI DSS.
12.8.2 un accord comportant une attestation certifiant que le prestataire de services est responsable de la sécurité des données de titulaire de carte en la possession du
fournisseur/prestataire.
12.8.2 Vérifier que le contrat contient des dispositions prévoyant la reconnaissance, par le tiers, de sa responsabilité en matière de sécurisation de données de titulaire de carte.
12.9 Mettre en œuvre un plan d’intervention en cas d’incident. Être prêt à intervenir sur-le-champ en cas de violation de la sécurité du système.
12.9 Obtenir et examiner le Plan d’intervention d’urgence, ainsi que les procédures liées et mettre en œuvre les mesures suivantes :
12.9.1 Élaborer le plan d’intervention en cas d’incident destiné à être appliqué lors d’une atteinte à la sécurité du système.
Faire en sorte que le plan prenne en compte, au moins, les procédures spécifiques d’intervention en cas d’incident, de reprise et de continuité de l’activité, de sauvegarde, les rôles et responsabilités, ainsi que les stratégies de communication et de contact (par exemple, en informant les Acquéreurs et les associations de carte de crédit).
12.9.1 Vérifier que le Plan d’intervention d’urgence et les procédures liées incluent :
• les rôles, responsabilités et stratégies de communication en cas d’atteinte à la sécurité ;
• la couverture et les réponses pour l’ensemble des composants de système critique ;
• l’information, au minimum, des associations et acquéreurs de carte de crédit ;
• une stratégie en matière de continuité de l’activité après une atteinte à la sécurité ;
• la référence à, ou l’inclusion de procédures d’intervention d'urgence des associations de carte ;
• l'analyse des obligations légales en matière de déclaration des atteintes à la sécurité (ainsi, le projet de loi 1836 de l’État de Californie prévoit-il une obligation d’information des clients concernés en cas d’atteinte à la sécurité, avérée ou
éventuelle, en relation avec toute transaction avec des résidents californiens figurant dans la base de données).
12.9.2 Tester le plan au moins une fois par an.
12.9.2 S’assurer que le plan est testé au moins une fois par an.
EXIGENCES DES NORMES PCI 12.9.3 Désigner des collaborateurs
spécifiques, qui devront être disponibles 24 heures sur 24, 7 jours sur 7, pour répondre aux alertes.
12.9.3 Vérifier, par l’observation et l’examen des politiques, qu’il existe un dispositif d’intervention et une surveillance 24 heures sur 24, 7 jours sur 7, en relation avec toutes preuves d'activités non autorisées, toutes alertes se rapportant à des systèmes de détection d'incident critiques, et/ou toutes déclarations afférentes à la modification non autorisée de systèmes critiques ou de fichiers de contenu.
12.9.4 Fournir une formation appropriée aux collaborateurs en charge de l’intervention en cas d’atteinte à la sécurité.
12.9.4 Vérifier, par l’observation et l’examen des politiques, que les collaborateurs en charge de la gestion des atteintes à la sécurité bénéficient de formations périodiques.
12.9.5 Inclure les alertes suite à une détection d’intrusion, de prévention d’intrusion et des systèmes de surveillance de l’intégrité des fichiers.
12.9.5 Vérifier, par l’observation et l’examen des politiques, que la surveillance et l’intervention suite à une alerte des systèmes de sécurité sont incluses dans le Plan d’intervention d’urgence.
12.9.6 Développer des processus de modification et d’évolution du plan d'intervention en cas d’incident, en fonction des leçons apprises, ainsi que dans le but de tenir compte des évolutions du secteur.
12.9.6 Vérifier, par l’observation et l’examen des politiques, qu'il existe un processus de modification et d’évolution du plan d'intervention en cas d’incident, en fonction des leçons apprises, ainsi que dans le but de tenir compte des évolutions du secteur.
12.10 Toutes les entités de
traitement et prestataires de services doivent disposer de, et appliquer des politiques et procédures de gestion d’entités liées incluant ce qui suit :
12.10 Vérifier, par l’observation et l’examen des politiques et procédures, ainsi que de la documentation à l’appui, qu'il existe un processus de gestion des entités liées, par la mise en œuvre des mesures suivantes :
12.10.1 gérer une liste d’entités liées ;
12.10.1 Vérifier qu’il existe une liste d’entités liées.
12.10.2 faire en sorte qu’une vérification préalable soit effectuée avant la connexion de toute entité ;
12.10.2 Vérifier que des procédures prévoient qu’une vérification préalable doit être effectuée avant la connexion de toute entité.
12.10.3 s’assurer que l’entité est conforme aux Normes PCI DSS ;
12.10.3 Vérifier que les procédures prévoient que l’entité se conforme aux Normes PCI DSS
12.10.4 connecter et déconnecter les entités conformément à une procédure établie.
12.10.4 Vérifier que la connexion et la déconnexion d’entités se déroulent conformément à un processus bien établi