Segmentation du réseau et conformité PCI

Le point de départ lors de la formulation de la portée de votre parcours de conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) commence par la segmentation du réseau. Cela implique simplement de créer des contrôles axés sur vos besoins en matière de sécurité des données.

Pour que vous respectiez les normes de segmentation de réseau PCI, vous devez d'abord comprendre les objectifs et le but de la norme.

Qu'est-ce que l'environnement de données de titulaire de carte (CDE) ?

PCI DSS décrit les données de titulaire de carte (CHD) comme toute donnée personnellement identifiable, qui est associée à la carte de débit ou de crédit d'un individu. Cette définition inclut également les numéros de compte principaux (PAN) ainsi que le code de service, le nom du titulaire de la carte, la date d'expiration et toute autre donnée d'authentification de carte sensible. En termes simples, CDH comprend toutes les informations pouvant être utilisées pour effectuer des frais frauduleux sur la carte d'un individu ou voler une identité.

L'environnement des données du titulaire de carte comprend des ordinateurs ou des systèmes de réseau impliqués dans le traitement, le stockage ou la transmission de ces informations. CDH comprend des composants système connexes tels que des serveurs, des périphériques réseau, des périphériques informatiques et des applications. Il peut s'agir de composants virtuels, de services de sécurité, de composants réseau, d'applications, de types de serveurs et de tout autre élément connecté au CDE. Si les systèmes ou les employés peuvent accéder à CHD, cela doit être séparé des autres aspects de votre entreprise.

PCI DSS et segmentation du réseau

La segmentation du réseau consiste à examiner la manière dont les informations sont transmises via vos systèmes. Vous devriez voir votre CDE comme une rivière et les données du titulaire de carte comme un canoë naviguant dans les rapides. Les rivières ont généralement plusieurs points d'accès pour les bateaux. De même, votre réseau dispose de plusieurs points d'accès aux données. Ils sont comme des rivières, auxquelles sont reliés des affluents. Tant que votre CHD peut flotter sur un chemin au sein de votre réseau, il est nécessaire de construire un barrage ou de protéger cet affluent.

Par exemple, la connectivité est définie par PCI DSS comme étant sans fil, virtualisée et physique. À tout point en aval de cette rivière, CHD peut entrer. La connectivité sans fil peut inclure des connexions Bluetooth et des réseaux locaux. La connectivité physique peut être des clés USB. La connectivité virtualisée intégrait généralement des ressources partagées, notamment des machines virtuelles et des pare-feu virtuels. Il est recommandé de sécuriser ces points d'accès aux données afin que CHD ne soit pas compromis.

Comment les entreprises évaluent les systèmes

La portée PCI DSS devrait impliquer l'évaluation critique de tous les points d'accès aux données et affluents trouvés sur votre rivière CDE. L'évaluation PCI DSS commence par la classification du mode et du lieu de réception des CHD. En parcourant la rive de votre rivière CDE, vous devez identifier tous les canaux de paiement ainsi que les méthodes d'acceptation des données des titulaires de carte. Ensuite, suivez le parcours de l'information en commençant par la collecte jusqu'à la destruction, l'élimination et le transfert.

Vous devez également identifier et marquer nos emplacements sur votre CDE où les données sont stockées, traitées ou transmises. Cette identification peut comprendre non seulement qui gère les données, mais aussi comment les informations sont traitées. Vous devez également documenter les processus et technologies que vous avez mis en place pour sécuriser votre environnement de données.

Après avoir suivi le flux d'informations sur votre réseau, assurez-vous d'intégrer tous les processus, personnes et composants système qui influencent le CDE. Il s'agit d'une étape cruciale, qui diffère de la précédente puisqu'elle vous oblige à regarder au-delà de ceux qui interagissent avec CHD. Au lieu de cela, vous devez vous concentrer sur les personnes et les composants système qui pilotent votre environnement de données.

Une fois que votre flux de données a été examiné, vous devez ensuite créer des contrôles pour protéger les informations. C'est de la même manière que la plupart des rivières comportent des débarcadères, destinés à empêcher les plaisanciers d'entrer à certains endroits. Pour mettre cela en perspective, les contrôles sont essentiels. De même, vous devez trouver un moyen de limiter où peuvent aller les informations cruciales et qui peut y avoir accès.

Pour ce faire, il est nécessaire de configurer la version de sécurité des données de dams. Cela peut inclure la configuration de méthodes de cryptage et de pare-feu. Après avoir établi le contrôle, il est nécessaire de l'appliquer pour sécuriser vos processus, les composants de votre système et votre personnel. Plus important encore, vous devez surveiller les contrôles pour vous assurer que toutes les modifications que vous apportez évoluent parallèlement à votre CDE.

Existe-t-il des systèmes hors champ ?

Les systèmes hors champ d'application sont définis par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC) comme ceux qui n'ont pas accès aux systèmes CDE. Notamment, les systèmes hors champ sont devenus rares. PCI SSC stipule que le composant système ne doit pas stocker, traiter ou même transmettre CHD. De même, il ne doit pas être connecté à des segments de réseau qui touchent à CHD.

Les tiers et les fournisseurs de services sont dans le cadre de votre conformité aux normes de sécurité PCI. Ils ressemblent aux gardes forestiers de votre rivière. En étant vos partenaires commerciaux, ils vous fournissent des services à distance. Puisqu'ils interagissent en permanence avec votre environnement de données, ils peuvent introduire des risques susceptibles de compromettre CHD. Cela met en évidence l'importance de participer à la surveillance par des tiers ainsi que de gérer votre écosystème de fournisseurs.

Note de l'éditeur : Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus soucieuses de la société. Ken a obtenu son BS en informatique et en génie électrique du MIT. En savoir plus sur ReciprocityLabs.com.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

• Gestion des journaux PCI DSS
• Cadrage d'un audit SOC2
• Exigences en matière d'audit – Sociétés privées américaines
• Plan de gestion des risques – A quoi ça sert ?
• Stratégie d'analyse des données sur l'efficacité de l'audit interne