reconstituées.
supports.
Surveiller et tester régulièrement les réseaux
10
èmeexigence : suivre et surveiller tous les accès aux ressources du réseau et aux données des titulaires de carte.
Les mécanismes de connexion et la capacité à suivre les activités de l’utilisateur sont critiques. L'existence de journaux dans tous les environnements permet une analyse et un suivi complets si quoi que ce soit tourne mal. Il est très difficile de déterminer la cause d’une atteinte à la sécurité sans journaux d’activité du système.
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN
PLACE
PAS EN PLACE
DATE CIBLE/
COMMENTAIRES 10.1 Mettre en place un processus destiné
à lier tous les accès à des composants du système (en particulier un accès avec des privilèges administratifs, par exemple, de base) à chaque utilisateur individuel.
10.1 Vérifier, par observation et par un entretien avec l’administrateur du système, que des pistes de vérification sont activées et actives, y compris pour tous réseaux sans fil connectés.
10.2 Mettre en œuvre, pour toutes les composantes du système, des pistes d’audit automatisées afin de reconstituer les événements ci-après :
10.2 Vérifier, par des entretiens, l’examen de registres de vérification et l’examen de paramètres de registres d'audit que les événements suivants sont bien enregistrés dans les registres d'activité du système : 10.2.1 tous les accès d’un individuel aux
données d’un titulaire de carte ;
10.2.1 tous les accès d’un individu aux données d’un titulaire de carte ;
10.2.2 toutes les actions effectuées par une personne jouissant d'avantages de base ou administratifs ;
10.2.2 les actions effectuées par une personne jouissant d'avantages de base ou administratifs ;
10.2.3 l'accès à toutes les pistes de vérification ;
10.2.3 l'accès à toutes les pistes de vérification ;
10.2.4 les tentatives d’accès logique invalides ;
10.2.4 les tentatives d’accès logique invalides ;
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN 10.2 5 l'utilisation des mécanismes
d’identification et d’authentification ;
10.2.5 l'utilisation des mécanismes d’identification et d’authentification ;
10.2.6 l'initialisation des journaux de vérification ;
10.2.6 l'initialisation de journaux de vérification ;
10.2.7 la création et la suppression d’objets de niveau système.
10.2.7 la création et la suppression d’objets de niveau système.
10.3 Enregistrer au moins les entrées de liste de piste de vérification ci-après pour l’ensemble des composantes du système et pour chaque événement :
10.3 Vérifier, par des entretiens et par l’observation, pour chaque événement devant donner lieu à
vérification (à partir du 10.2) que la piste de vérification comporte les éléments suivants :
10.3.1 l'identification de l’utilisateur ; 10.3.1 l'identification de l’utilisateur ; 10.3.2 le type d’événement ; 10.3.2 le type d’événement ; 10.3.3 la date et le lieu ; 10.3.3 le cachet horodateur ; 10.3.4 une indication de succès ou
d’échec ;
10.3.4 une indication de succès ou de réussite, y compris pour les connexions sans fil ;
10.3.5 l'origine de l’événement ; 10.3.5 l'origine de l’événement ; 10.3.6 l'identité ou la dénomination des
données, composants de système ou ressources affectés.
10.3.6 l'identité ou la dénomination des données, composants de système ou ressources affectés.
10.4 Synchroniser toutes les horloges et heures du système critique.
10.4 Obtenir et examiner le processus d’obtention et de distribution de l’heure exacte au sein de
l’organisation, ainsi que les configurations de paramètres systémiques liés au temps pour un échantillon de composants du système, de serveurs critiques et de points d'accès sans fil. Vérifier que les points suivants sont inclus dans le processus et mis en œuvre :
10.4.a Vérifier qu'un NTP ou une technologie similaire est utilisée pour la synchronisation horaire.
10.4.b Vérifier que des serveurs internes ne reçoivent pas de signaux horaires émanant de sources externes.
[Deux ou trois serveurs centraux, au sein de
l’organisation, reçoivent des signaux horaires externes [provenant directement d’une radio spéciale, de satellites GPS ou d’autres sources externes, et basés
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN sur le Temps atomique international et l’UTC
(ex-GMT)], travaillent en homologue les uns avec les autres afin de maintenir l'exactitude horaire et partagent le temps avec d'autres serveurs internes.]
10.4.c Vérifier que la version du Network Time Protocol (NTP) utilisée est la plus récente
10.4.d Vérifier que des hôtes externes spécifiques, desquels les serveurs horaires accepteront des mises à jour horaires NTP (pour éviter qu’un attaquant ne modifie l’horloge), ont été désignés. De manière optionnelle, ces mises à jour peuvent être cryptées par clé symétrique, et des listes de contrôle d’accès spécifiant les adresses IP qui seront communiquées au service NTP (pour empêcher une utilisation non autorisée de serveurs horaires internes) peuvent être établies.
Pour plus d’informations, consulter www.ntp.org/
10.5 Sécuriser les piste de vérification afin qu’elles ne puissent être détruites.
10.5 Interroger l’administrateur du système et étudier les autorisations afin de vérifier que les pistes de vérification sont sécurisées, pour qu’elles ne puissent être effacées, comme suit :
10.5.1 Limiter la consultation des pistes de vérification aux personnes ayant, de par leurs fonctions, besoin d’y avoir accès.
10.5.1 vérifier que seules des personnes ayant besoin d’en avoir connaissance dans le cadre de leurs fonctions puissent accéder aux fichiers de piste de vérification.
10.5.2 Protéger les dossiers des pistes de vérification des modifications non autorisées.
10.5.2 Vérifier que les fichiers de piste de vérification courants sont protégés des modifications non autorisées grâce à des mécanismes de contrôle d’accès, une séparation physique et/ou une ségrégation de réseau.
10.5.3 Sauvegarder promptement les fichiers des pistes de vérification sur un serveur registre centralisé, ou un support difficile à modifier.
10.5.3 Vérifier que les fichiers des pistes de vérification sont promptement sauvegardés sur un serveur registre centralisé, ou un support difficile à modifier.
10.5.4 Copier les journaux relatifs aux réseaux sans fil sur un serveur registre du LAN interne.
10.5.4 Vérifier que les journaux relatifs aux réseaux sans fil sont téléchargés ou copiés sur un serveur registre interne centralisé, ou un support difficile à
EXIGENCES DES NORMES PCI DSS PROCÉDURES DE TEST EN
10.5.5 Utiliser, avec les journaux, un logiciel de contrôle de l’intégrité des fichiers et de détection des modifications, pour que les données de registre existantes ne puissent être modifiées sans que cela n’entraîne le déclenchement d’alertes (bien que l'ajout de nouvelles données ne déclenche en principe pas d'alertes).
10.5.5 Vérifier l’utilisation de la surveillance de l’intégrité de fichier ou le logiciel de détection de modification en examinant les paramètres du système et les fichiers modifiés, ainsi que les résultats des activités de surveillance.
10.6 Examiner les journaux pour toutes les composantes des systèmes au moins quotidiennement. Les examens de journaux doivent englober les serveurs remplissant des fonctions de sécurité, tels que les systèmes de détection d’intrusion (Intrusion Detection System, IDS) et les serveurs authentification, d’autorisation et de protocole comptable (AAA) (par exemple, RADIUS).
Remarque : des outils d'exploitation de journal, d'analyse et d’alerte peuvent être utilisés pour assurer la conformité à l'Exigence 10.6.
10.6.a Obtenir et étudier les politiques et procédures en matière de sécurité pour vérifier qu'elles incluent des procédures de vérification des journaux de sécurité au moins quotidiennement et qu'un suivi des exceptions est requis.
10.6.b Par des observations et des entretiens, s’assurer que des examens réguliers des journaux sont réalisés pour l’ensemble des composants du système.
10.7 Conserver l’historique de piste de vérification durant au moins un an, avec un minimum de trois mois de disponibilité en ligne.
10,7.a Obtenir et étudier les politiques et procédures en matière de sécurité et s’assurer qu’elles incluent des politiques relatives à la conservation des registres de vérification durant au moins un an.
10.7.b Vérifier que des journaux de vérification sont disponibles en ligne ou sur bande durant au moins un an.