Gestion des journaux PCI DSS

Toute entreprise dont la gamme de services implique la collecte de paiements doit disposer de systèmes pour protéger les informations des clients, que ce soit dans les secteurs de la santé, de l'alimentation, de la vente au détail, de l'hôtellerie ou de tout autre secteur. En effet, la transmission des données de paiement est très sensible.

En plus d'établir les normes de l'industrie pour les données de titulaire de carte (CD), la norme de sécurité des données de l'industrie des cartes de paiement ou PCI-DSS applique également ces normes avec des sanctions en cas de violation.

Qu'est-ce que PCI-DSS implique exactement ?

Au début des années 2000, les cinq leaders mondiaux des transactions par carte de paiement : American Express, MasterCard, Discover Financial Services, Visa Inc. et JCB International se sont réunis pour lancer le Payment Card Industry-Security Standards Council ou PCI-SSC. Le conseil a proposé des normes de sécurité de l'information pour le traitement des paiements avec deux objectifs en tête :

• protéger les clients contre le vol d'identité non autorisé, et
• aider l'industrie des cartes à éviter de payer pour des violations de données évitables.

Depuis les délibérations du PCI-SSC, ce que nous appelons aujourd'hui les « meilleures pratiques » de l'industrie des cartes pour protéger les données et les informations de paiement des clients ont rapidement été normalisées dans le PCI-DSS.

Sanctions pour non-conformité PCI-DSS

Bien que la norme PCI-DSS ne soit désignée que comme une « norme de l'industrie » plutôt que comme une réglementation, s'y conformer est loin d'être facultatif. La non-conformité peut être une perte importante pour votre entreprise en tant que commerçant. Les sociétés émettrices de cartes et les banques acquéreuses peuvent infliger une amende de 5 000 à 100 000 dollars par mois en cas de non-conformité. De telles amendes peuvent être une condamnation à mort pour les PME.

La conformité PCI-DSS est-elle donc obligatoire ?

Oui c'est le cas! Quelle que soit la taille de votre entreprise ou le secteur dans lequel vous évoluez, si vous acceptez, transmettez ou stockez des données de titulaire de carte, la conformité PCI-DSS est indispensable.

Exigence 10 de la norme PCI-DSS : qu'est-ce que c'est ?

Cette exigence concerne la surveillance de l'accès aux réseaux et aux données. Il indique : Suivez et surveillez tous les accès aux ressources réseau et aux données des titulaires de cartes.

Outre les mécanismes de journalisation, la capacité de suivre et de surveiller les actions des utilisateurs est cruciale dans la détection, la réduction de l'impact ou la prévention pure et simple des violations de données. Avec les journaux d'activité du système, il est plus facile de suivre, d'analyser et de déterminer la source d'une violation pour alerter les autorités concernées afin qu'elles agissent.

Avec 39 sous-parties qui énoncent ses exigences, l'exigence 10 insiste sur le fait que vous surveillez en permanence l'accès et les activités des utilisateurs dans votre environnement. Les contrôles d'accès des utilisateurs vous permettent d'assurer un environnement de données de titulaire de carte sécurisé (CDE). De plus, la norme PCI-DSS étant un ensemble de normes hautement prescriptives, elle établit une liste détaillée des étapes, processus et documents nécessaires pour répondre à ses exigences.

Exigence 10 Conformité : Quels enregistrements sont nécessaires ?

Pour vous aider à vous assurer que vous respectez pleinement ses exigences, PCI-DSS dispose de nombreux mécanismes intégrés. Outre la liste des sections, des sous-sections et des parties de sous-sections, la norme comprend également une section d'orientation pour aider ses utilisateurs à apprécier une revue de contrôle efficace. Vous trouverez ci-dessous une compilation d'étapes qui peuvent vous aider à enregistrer les données essentielles pour déterminer si vous êtes conforme ou non :

• Concevez un système/processus reliant l'accès des utilisateurs aux sections du système auxquelles ils ont accès et soyez sûr que vous pouvez suivre toute activité suspecte jusqu'à sa source.
• Créez des pistes d'audit qui montrent comment l'administrateur système peut être informé de toute activité suspecte et réagir en conséquence.
• Enregistrez toutes les entrées d'accès individuelles au CDE pour prouver qu'aucun utilisateur non autorisé n'a eu accès aux systèmes, réseaux et données.
• Assurez-vous d'enregistrer toutes les activités menées par les comptes "admin/root" qui montrent clairement toute utilisation abusive possible des privilèges et retracez la violation jusqu'à sa source spécifique.
• Maintenez l'intégrité des fichiers des journaux d'audit en mettant en œuvre une méthode pour identifier les modifications, ajouts ou suppressions qui y sont apportés.
• Enregistrez les tentatives de connexion invalides/illégales pour suivre les tentatives de mot de passe et les attaques de piratage par force brute.
• Un document qui vous permet de suivre toute manipulation des activités d'authentification qui tentent de contourner les contrôles.
• Enregistrez toutes les pauses/redémarrages dans les processus de journalisation d'audit de votre système.
• Conservez des enregistrements pour démontrer que les objets au niveau du système, tels que les bases de données ou les procédures stockées, n'ont pas été créés/supprimés via des comptes d'utilisateurs non autorisés.
• Créez un journal des événements pour enregistrer les ID utilisateur, les types d'événements, les horodatages, les indicateurs de réussite/échec, l'origine de l'événement, les données affectées, le composant système affecté et l'identité/le nom de la ressource.
• Synchronisez les horloges entre les composants du système pour garder un œil sur les séquences d'événements exactes pour les équipes d'investigation.
• Utilisez le « principe du moindre privilège » dans l'accès au journal d'audit pour garantir l'intégrité et la sécurité des informations.
• Sauvegardez les journaux sur un serveur/support centralisé qui garantit l'intégrité des données.
• Écrivez des journaux directement ou déchargez/copiez des sources externes vers un système interne sécurisé.
• Incorporez des mécanismes de surveillance de l'intégrité des fichiers et de détection des modifications pour détecter les modifications du journal d'audit en cas de dépassement des dates.
• Examinez régulièrement les journaux, manuellement ou via des outils de collecte, d'analyse et d'alerte de journaux.
• Examinez quotidiennement les contrôles de sécurité pour détecter les alertes sur les journaux des composants système critiques, par exemple toute activité suspecte.
• Planifiez des examens réguliers pour tous les composants du système qui révèlent des problèmes potentiels ou des tentatives d'accès non autorisées à des systèmes sensibles via des systèmes moins sensibles.
• Gardez un œil sur les enquêtes sur les exceptions/anomalies.
• Conserver tous les dossiers pendant au moins un an.
• Assurez-vous que les employés sont au courant des politiques de sécurité et de leur surveillance.

Exigences supplémentaires pour les fournisseurs de services

• Mettre en œuvre des procédures formelles pour détecter/alerter les défaillances critiques des contrôles de sécurité, par exemple la suppression des règles du pare-feu ou la mise hors ligne.
• Conserver des preuves sur la réponse aux défaillances de sécurité, y compris la procédure impliquée et responsable.

Note de l'éditeur : Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus soucieuses de la société. Ken a obtenu son BS en informatique et en génie électrique du MIT. En savoir plus sur ReciprocityLabs.com.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

• Cadrage d'un audit SOC2
• Exigences en matière d'audit – Sociétés privées américaines
• Plan de gestion des risques – A quoi ça sert ?
• Stratégie d'analyse des données sur l'efficacité de l'audit interne
• Prioriser les risques dans la gestion de projet