Mise en conformité PCI DSS
avec DataSecurity Plus

La norme PCI DSS (Payment Card Industry Data Security Standard, ou norme de sécurité des données du secteur des cartes de paiement) s’applique à toutes les entités amenées à traiter des cartes bancaires, comme les commerçants, les processeurs, les acheteurs, les émetteurs et les prestataires de services. Elle s’applique aussi à d’autres acteurs qui acceptent, stockent ou transmettent des données de carte bancaire, de titulaire ou d’authentification sensibles.

ManageEngine DataSecurity Plus, notre solution de conformité PCI, permet de répondre aux exigences PCI DSS en :

Analysant et suivant les données de carte bancaire dans des environnements de stockage.
Vérifiant comme les fichiers sensibles sont protégés, traités et transmis.
Contrôlant l’intégrité des fichiers de l’environnement.
Donnant de meilleurs aperçus des autorisations de sécurité et du stockage de fichiers.
Protégeant les fichiers sensibles contre des fuites de données accidentelles ou malveillantes.

Et bien plus.

Comment la solution de conformité PCI DSS répond aux exigences de conformité PCI

Ce tableau affiche les diverses exigences de la norme PCI DSS que couvre DataSecurity Plus.

Nature des exigences PCI	Mesures à prendre	Aide apportée par DataSecurity Plus
Exigence 2.2.5 Supprimer toutes les fonctionnalités qui ne sont pas nécessaires, comme les scripts, pilotes, fonctions, sous-systèmes, systèmes de fichiers et serveurs Web superflus.	Identifier tous les composants du système comme les scripts et les systèmes de fichiers et supprimer ceux inutilisés.	Localisation des fichiers inutilisés Obtenez des rapports sur les fichiers, les scripts, les fichiers de commande et autres qui n’ont pas été ouverts ou modifiés pendant de longues périodes. Ces rapports simplifient la gestion des fichiers redondants, obsolètes et inutiles et réduisent le nombre de fichiers vulnérables ayant des autorisations ou des données périmées.
Exigence 3.1 Garder le stockage de données du titulaire à un niveau minimum en appliquant des politiques, procédures et processus de conservation et d’élimination des données, qui comprennent au moins les mesures suivantes pour le stockage des données : La limitation de la quantité de données stockées et du délai de conservation aux obligations professionnelles, légales et réglementaires ; Des conditions de conservation spécifiques pour les données de titulaire ; Des processus pour la suppression sécurisée des données devenues inutiles ; Un processus trimestriel pour l’identification et la suppression sécurisées des données du titulaire stockées au-delà des conditions de conservation définies.	Analyser régulièrement les données réglementées de l’environnement. Établir des stratégies de rétention pour supprimer les données collectées lorsqu’elles deviennent inutiles. Localiser et supprimer les données du titulaire stockées au-delà de la durée autorisée.	Analyse de données PCI et de titulaire de carte Utilisez des règles d’analyse de données pour localiser les données PCI et de titulaire de carte stockées par l’organisation. Créez un inventaire des types de données stockées, où, par qui et pendant combien de temps. Cela permet aux administrateurs de veiller à ne stocker que les données nécessaires. Analyse des données superflues Identifiez les fichiers anciens, périmés et intacts pour s’assurer que les données de titulaire de carte ne sont pas stockées après la période de conservation prévue. Analyses planifiées d’évaluation du risque Effectuez des recherches de données de titulaire de carte régulières, déployez une analyse différentielle des fichiers nouveaux ou récemment modifiés et veillez à bien détecter et cataloguer chaque instance de données réglementées. Vous pouvez aussi utiliser des scripts pour mettre en quarantaine ou supprimer des fichiers qui violent les stratégies de stockage des données sensibles.
Exigence 3.2 Ne stocker aucune donnée d’identification sensible après autorisation. Les données d’identification sensibles comprennent notamment le nom du titulaire de carte, le numéro de compte principal (PAN), le code de validation de carte et le numéro d’identification personnel (PIN). Il est permis aux émetteurs et aux sociétés qui prennent en charge les services d’émission de stocker des données d’identification sensibles si : Une justification commerciale existe et les données sont stockées de manière sécurisée	Examiner les sources de données et vérifier que des données d’identification sensibles ne sont pas stockées après autorisation.	Analyse de données PCI Mettez en place une analyse de données efficace en combinant la correspondance de mot-clé et de critères spéciaux. Cela permet de localiser des valeurs de validation de carte (CVV), des données PIN, PAN et autres d’identification. Indice de confiance Vérifiez le contexte de concordances potentielles pour déterminer la certitude (vrai positif au lieu de faux positif). Automatisation de mesures Automatisez la suppression ou la mise en quarantaine de données de carte supprimées, ou limitez leur utilisation en exécutant une action personnalisée via des scripts.
Exigence 3.5.2 Restreindre l’accès aux clés cryptographiques au plus petit nombre d’opérateurs possible.	Examiner les autorisations liées aux fichiers de clés et vérifier que l’accès est restreint aux opérateurs strictement nécessaires.	Suivi des autorisations NTFS et de partage Recevez des rapports détaillés sur les autorisations NTFS et de partage des fichiers et des dossiers pour savoir quel utilisateur possède certains droits sur eux.
Exigence 7.1 Restreindre l’accès aux composants du système et aux données de titulaire aux seuls individus qui doivent y accéder pour mener à bien leur travail. 7.1.1 Définir les besoins d’accès pour chaque rôle 7.1.2 Restreindre l’accès aux ID utilisateurs privilégiés 7.1.3 Affecter l’accès basé sur la classification et la fonction professionnelles de chaque employé. Remarque : les composants du système comprennent les périphériques réseau, les serveurs, les ordinateurs et les applications.	Vérifier que les privilèges affectés à des utilisateurs privilégiés et autres sont : Nécessaires pour les fonctions du travail de cette personne. Restreints aux privilèges les plus faibles nécessaires pour la réalisation du travail.	Suivi des autorisations NTFS Répertoriez les utilisateurs ayant accès à des fichiers contenant des données de titulaire avec des détails sur le type d’actions que chaque utilisateur peut effectuer sur eux. Analyse des autorisations effectives Assurez la confidentialité des données de titulaire en analysant et suivant les autorisations effectives. Vérifiez que les utilisateurs n’ont pas des privilèges excessifs par rapport à leur rôle. Détection des fichiers surexposés Localisez les fichiers auxquels tout employé peut accéder et ceux autorisant un accès en contrôle total aux utilisateurs.
Exigence 8.1.3 Révoquer immédiatement l’accès de tout utilisateur qui ne travaille plus pour la société.	S’assurer que les utilisateurs ayant quitté l’organisation ont été supprimés des listes d’accès aux fichiers.	Analyse de la propriété des fichiers Identifiez les fichiers orphelins et détenus par des utilisateurs périmés, désactivés ou inactifs pour éviter des tentatives de modification de fichier malveillantes par d’anciens employés.
Exigence 10.1 Établir des pistes d’audit pour relier tous les accès aux composants du système à chaque utilisateur individuel.	Générer des journaux d’audit qui permettent de retracer les activités suspectes jusqu’à un utilisateur particulier.	Piste d’audit détaillée Suivez les accès à des fichiers sensibles et l’utilisation d’applications Web, de périphériques USB, d’imprimantes et autres avec un journal d’audit à accès centralisé. Analyse de la cause première Exploitez des options de filtrage de rapport granulaire pour faciliter l’analyse de la cause première et identifier la portée d’une violation.
Exigence 10.2 Mettre en œuvre des pistes d’audit automatisées pour tous les composants du système afin de reconstituer les événements suivants : 10.2.1 Tous les accès de chaque utilisateur à des données de titulaire 10.2.2 Toutes les actions exécutées par un utilisateur avec des droits racine ou administrateur	Vérifier l’activité des utilisateurs dans l’environnement en temps réel. Suivre les modifications apportées par des utilisateurs ayant des droits d’administrateur.	Suivi de l’activité des fichiers Suivez tous les événements de fichier et dossier (lecture, création, modification, remplacement, déplacement, changement de nom, suppression et modification d’autorisations) survenant dans l’environnement de stockage de données PCI et de titulaire de carte. Suivi des utilisateurs privilégiés Affichez les utilisateurs ayant un accès privilégié à des fichiers sensibles et personnalisez des rapports pour suivre toutes les modifications qu’ils y apportent.
Exigence 10.3 Consigner dans les pistes d’audit au moins les entrées suivantes pour chaque événement : 10.3.1 Identification de l’utilisateur 10.3.2 Type d’événement 10.3.3 Date et heure 10.3.4 Indication de succès ou d’échec 10.3.5 Origine de l’événement 10.3.6 Identité ou nom des données concernées	Collecter des journaux détaillés sur l’activité des utilisateurs dans l’environnement.	Audit des modifications en temps réel Obtenez des détails complets sur chaque accès à un fichier, notamment l’auteur d’une tentative de modification, son type, le fichier concerné, le moment, le lieu d’origine et sa réussite.
Exigence 10.5 Protéger les pistes d’audit de sorte qu’elles ne puissent pas être modifiées. 10.5.5 Utiliser un outil de contrôle d’intégrité des fichiers ou de détection des modifications pour s’assurer que les données contenues dans les journaux ne peuvent pas être modifiées sans entraîner le déclenchement d’une alerte (alors que l’ajout de nouvelles données ne doit pas entraîner d’alerte).	Déployer des systèmes de contrôle d’intégrité des fichiers ou de détection pour vérifier les modifications des fichiers sensibles et envoyer des notifications en cas de tels événements.	Contrôle d’intégrité des fichiers PCI Vérifiez l’échec ou la réussite de chaque tentative d’accès à un fichier en temps réel. Conservez une piste d’audit détaillée à des fins d’analyse. Alertes en temps réel Déclenchez des alertes instantanées pour avertir les intéressés lorsque des modifications de fichier suspectes sont détectées. Automatisation de la réponse aux incidents de sécurité Exécutez des actions automatisées pour minimiser les dommages potentiels en cas d’incident de sécurité.
Exigence 10.6 Examiner les journaux et les évènements de sécurité de tous les composants du système pour identifier les anomalies ou les activités suspectes.	Des examens réguliers des journaux aident à identifier les accès non autorisés à l’environnement de stockage et à y remédier de façon proactive. Cela réduit aussi le délai de détection d’une violation potentielle.	Remise planifiée de rapports de conformité PCI Envoyez des rapports planifiés aux boîtes aux lettres des intéressés au format PDF, HTML, CSV ou XLSX.
Exigence 10.7 Conserver l’historique des audits pendant une année au moins, en gardant immédiatement à disposition les journaux des trois derniers mois au moins, pour analyse (par exemple, disponible en ligne, dans des archives ou pouvant être restauré à partir d’une sauvegarde).	Il faut souvent du temps pour déceler une compromission, raison pour laquelle la conservation des journaux pendant au moins un an garantit que les enquêteurs disposent d’un historique suffisant pour évaluer la durée d’une violation potentielle et son impact.	Rétention des journaux d’audit à long terme Conservez les journaux d’audit pendant de longues périodes. Vous pouvez archiver des journaux plus anciens et les extraire ultérieurement pour analyser l’accès aux fichiers.
Exigence 11.5 Déployer un mécanisme de détection de changement (par exemple, outil de contrôle d’intégrité des fichiers) pour alerter le personnel de toute modification non autorisée (modification, ajout ou suppression) des fichiers critiques du système, fichiers de configuration ou fichiers de contenu et configurer l’outil pour qu’il effectue des comparaisons de fichier critique au moins une fois par semaine.	Suivre les modifications des exécutables du système, des exécutables d’application, des fichiers de configuration et de paramètres, etc. Déclencher des alertes en cas de modifications imprévues.	Contrôle d’intégrité des fichiers Vérifiez les changements apportés aux fichiers binaires d’application ou du système d’exploitation et aux fichiers de configuration, d’application, de journal et autres. Alertes instantanées Avertissez instantanément les administrateurs en cas de détection de modifications de fichier anormales. Exécution d’une réponse aux incidents personnalisée Automatisez l’exécution de fichiers de commandes pour arrêter des machines ou des sessions d’utilisateur, par exemple.
Exigence 12.3.10 Lors de l’accès du personnel aux données de titulaire au moyen de technologies d’accès à distance, interdire la copie, le déplacement et le stockage de données de titulaire sur des disques durs locaux et des supports électroniques amovibles, sauf autorisation expresse pour un besoin professionnel défini.	Empêcher les utilisateurs de stocker ou copier des données de titulaire sur leurs ordinateurs personnels locaux ou des supports, à moins qu’ils ne soient explicitement autorisés à le faire.	Protection contre la copie de fichiers Surveillez les opérations de copie de fichiers en temps réel et évitez le transfert non autorisé de données sensibles entre des partages locaux et réseau. Protection contre l’écriture USB Bloquez les périphériques USB suspects et empêchez que des utilisateurs n’exfiltrent des données sensibles.
Exigence A3.2.5 Déployer une méthodologie d’analyse des données pour confirmer le champ d’application de la norme PCI DSS et pour localiser toutes les sources et les instances du PAN en texte clair au moins une fois par trimestre et lors de modifications importantes apportées à l’environnement ou aux processus de titulaire de carte. A3.2.5.1 Les méthodes d’analyse des données doivent pouvoir identifier le PAN en texte clair pour tous les types de composants du système et les formats de fichiers utilisés. A3.2.5.2 Déployer les procédures suivantes d’intervention à lancer lorsque le PAN en texte clair est détecté en dehors de l’environnement de stockage des données de titulaire : Procédures pour déterminer la marche à suivre si un PAN en texte clair est identifié en dehors de l’environnement, comme son retrait, sa suppression sécurisée et/ou sa migration vers l’environnement actuellement défini, le cas échéant. Procédures pour expliquer comment les données ont quitté l’environnement. Procédures pour identifier la source des données.	Générer un rapport régulier sur l’emplacement des données de titulaire dans l’environnement de stockage. Identifier les données sensibles résidant en dehors de l’environnement défini. Prendre des mesures correctives si on détecte des données sensibles en dehors de l’environnement.	Analyse de données PCI planifiée Identifiez et documentez les données PCI (notamment le PAN en texte clair) dans l’environnement de stockage de l’entreprise. Visibilité multi-plateforme Détectez les données de titulaire et PCI sensibles sur des serveurs de fichiers Windows, des clusters de basculement et des bases de données MSSQL. Correction automatisée Si des fichiers sensibles résident en dehors de l’environnement, on peut configurer DataSecurity Plus pour les supprimer ou les déplacer automatiquement, sinon les gérer. Analyse de la propriété et l’accès Déterminez le propriétaire des fichiers sensibles et suivez toutes les actions d’utilisateur dans la période analysée. On peut ainsi expliquer comment les données ont quitté l’environnement.
Exigence A3.2.6 Déployer les mécanismes requis pour détecter le PAN en texte clair et l’empêcher de quitter l’environnement via un canal non autorisé, une méthode ou un processus illicite, notamment en générant des journaux d’audit et des alertes. A3.2.6.1 Déployer les procédures d’intervention à lancer en cas de tentative de suppression du PAN en texte clair de l’environnement via un canal non autorisé, une méthode ou un processus illicite.	Mettre en place des solutions de prévention des pertes de données (DLP) pour détecter et éviter des fuites via le courrier électronique, un support amovible ou une imprimante.	Plateforme unifiée de prévention des pertes de données Classez les données sensibles et empêchez leur fuite via des périphériques de stockage externes, Outlook ou des imprimantes. Contrôle de l’utilisation de périphériques Limitez l’utilisation de périphériques USB, de points d’accès sans fil et de lecteurs de CD/DVD avec des stratégies de contrôle centralisé pour protéger contre l’exfiltration de données. Prévention des fuites de données via des périphériques USB Bloquez des périphériques USB à la suite de transferts de données anormaux et de tentatives d’exfiltrer des données sensibles.
Exigence A3.4.1 Examiner les comptes d’utilisateur et les privilèges d’accès aux composants du système concernés au moins une fois par semestre pour vérifier qu’ils restent adaptés à la fonction et autorisés comme il se doit. Référence de la norme PCI DSS : exigence 7	Examiner les comptes d’utilisateur et les privilèges d’accès au moins une fois par semestre et vérifier qu’ils conviennent aux fonctions.	Analyse des autorisations de sécurité Suivez les modifications d’autorisations, répertoriez les autorisations effectives, identifiez les fichiers accessibles par chaque employé ou localisez les utilisateurs avec droits de contrôle total pour veiller à appliquer le principe du privilège minimum. On peut envoyer des rapports selon un calendrier établi à plusieurs intéressés.
Exigence A3.5.1 Déployer une méthodologie pour identifier rapidement les modèles d’attaque et le comportement indésirable sur les systèmes, par exemple en effectuant des examens manuels coordonnés et/ou en utilisant des outils de corrélation de journaux automatisés ou avec une gestion centralisée, en intégrant au minimum ce qui suit : Identification des anomalies ou des activités suspectes en temps réel. Déclenchement d’alertes à temps lorsque le personnel détecte des activités suspectes ou des anomalies. Réponse aux alertes conformément aux procédures d’intervention documentées. Référence de la norme PCI DSS : exigences 10, 12	Déployez une solution pour identifier les événements indésirables, comme les modifications de fichiers sensibles et les intrusions, et avertir instantanément les administrateurs.	Détection d’anomalies Identifiez les anomalies d’activité des utilisateurs comme des accès aux fichiers en dehors des heures de bureau, un nombre excessif d’échecs d’accès, etc. Alertes rapides Configurez des alertes sur les modifications non autorisées de fichiers critiques, l’analyse des données sensibles en dehors de l’environnement, etc. Détection des menaces et réponse Détectez les intrusions de rançongiciel et exécutez des scripts pour mettre en quarantaine les machines infectées et éviter la propagation de logiciels malveillants.

Nature des exigences PCI

Mesures à prendre

Aide apportée par DataSecurity Plus

Exigence 2.2.5

Supprimer toutes les fonctionnalités qui ne sont pas nécessaires, comme les scripts, pilotes, fonctions, sous-systèmes, systèmes de fichiers et serveurs Web superflus.

Identifier tous les composants du système comme les scripts et les systèmes de fichiers et supprimer ceux inutilisés.

Localisation des fichiers inutilisés

Obtenez des rapports sur les fichiers, les scripts, les fichiers de commande et autres qui n’ont pas été ouverts ou modifiés pendant de longues périodes. Ces rapports simplifient la gestion des fichiers redondants, obsolètes et inutiles et réduisent le nombre de fichiers vulnérables ayant des autorisations ou des données périmées.

Exigence 3.1

Garder le stockage de données du titulaire à un niveau minimum en appliquant des politiques, procédures et processus de conservation et d’élimination des données, qui comprennent au moins les mesures suivantes pour le stockage des données :

La limitation de la quantité de données stockées et du délai de conservation aux obligations professionnelles, légales et réglementaires ;
Des conditions de conservation spécifiques pour les données de titulaire ;
Des processus pour la suppression sécurisée des données devenues inutiles ;
Un processus trimestriel pour l’identification et la suppression sécurisées des données du titulaire stockées au-delà des conditions de conservation définies.

Analyser régulièrement les données réglementées de l’environnement.
Établir des stratégies de rétention pour supprimer les données collectées lorsqu’elles deviennent inutiles.
Localiser et supprimer les données du titulaire stockées au-delà de la durée autorisée.

Analyse de données PCI et de titulaire de carte

Utilisez des règles d’analyse de données pour localiser les données PCI et de titulaire de carte stockées par l’organisation. Créez un inventaire des types de données stockées, où, par qui et pendant combien de temps. Cela permet aux administrateurs de veiller à ne stocker que les données nécessaires.

Analyse des données superflues

Identifiez les fichiers anciens, périmés et intacts pour s’assurer que les données de titulaire de carte ne sont pas stockées après la période de conservation prévue.

Analyses planifiées d’évaluation du risque

Effectuez des recherches de données de titulaire de carte régulières, déployez une analyse différentielle des fichiers nouveaux ou récemment modifiés et veillez à bien détecter et cataloguer chaque instance de données réglementées. Vous pouvez aussi utiliser des scripts pour mettre en quarantaine ou supprimer des fichiers qui violent les stratégies de stockage des données sensibles.

Exigence 3.2

Ne stocker aucune donnée d’identification sensible après autorisation.

Les données d’identification sensibles comprennent notamment le nom du titulaire de carte, le numéro de compte principal (PAN), le code de validation de carte et le numéro d’identification personnel (PIN).

Il est permis aux émetteurs et aux sociétés qui prennent en charge les services d’émission de stocker des données d’identification sensibles si :

Une justification commerciale existe
et les données sont stockées de manière sécurisée

Examiner les sources de données et vérifier que des données d’identification sensibles ne sont pas stockées après autorisation.

Analyse de données PCI

Mettez en place une analyse de données efficace en combinant la correspondance de mot-clé et de critères spéciaux. Cela permet de localiser des valeurs de validation de carte (CVV), des données PIN, PAN et autres d’identification.

Indice de confiance

Vérifiez le contexte de concordances potentielles pour déterminer la certitude (vrai positif au lieu de faux positif).

Automatisation de mesures

Automatisez la suppression ou la mise en quarantaine de données de carte supprimées, ou limitez leur utilisation en exécutant une action personnalisée via des scripts.

Exigence 3.5.2

Restreindre l’accès aux clés cryptographiques au plus petit nombre d’opérateurs possible.

Examiner les autorisations liées aux fichiers de clés et vérifier que l’accès est restreint aux opérateurs strictement nécessaires.

Suivi des autorisations NTFS et de partage

Recevez des rapports détaillés sur les autorisations NTFS et de partage des fichiers et des dossiers pour savoir quel utilisateur possède certains droits sur eux.

Exigence 7.1

Restreindre l’accès aux composants du système et aux données de titulaire aux seuls individus qui doivent y accéder pour mener à bien leur travail.

7.1.1 Définir les besoins d’accès pour chaque rôle

7.1.2 Restreindre l’accès aux ID utilisateurs privilégiés

7.1.3 Affecter l’accès basé sur la classification et la fonction professionnelles de chaque employé.

Remarque : les composants du système comprennent les périphériques réseau, les serveurs, les ordinateurs et les applications.

Vérifier que les privilèges affectés à des utilisateurs privilégiés et autres sont :

Nécessaires pour les fonctions du travail de cette personne.
Restreints aux privilèges les plus faibles nécessaires pour la réalisation du travail.

Suivi des autorisations NTFS

Répertoriez les utilisateurs ayant accès à des fichiers contenant des données de titulaire avec des détails sur le type d’actions que chaque utilisateur peut effectuer sur eux.

Analyse des autorisations effectives

Assurez la confidentialité des données de titulaire en analysant et suivant les autorisations effectives. Vérifiez que les utilisateurs n’ont pas des privilèges excessifs par rapport à leur rôle.

Détection des fichiers surexposés

Localisez les fichiers auxquels tout employé peut accéder et ceux autorisant un accès en contrôle total aux utilisateurs.

Exigence 8.1.3

Révoquer immédiatement l’accès de tout utilisateur qui ne travaille plus pour la société.

S’assurer que les utilisateurs ayant quitté l’organisation ont été supprimés des listes d’accès aux fichiers.

Analyse de la propriété des fichiers

Identifiez les fichiers orphelins et détenus par des utilisateurs périmés, désactivés ou inactifs pour éviter des tentatives de modification de fichier malveillantes par d’anciens employés.

Exigence 10.1

Établir des pistes d’audit pour relier tous les accès aux composants du système à chaque utilisateur individuel.

Générer des journaux d’audit qui permettent de retracer les activités suspectes jusqu’à un utilisateur particulier.

Piste d’audit détaillée

Suivez les accès à des fichiers sensibles et l’utilisation d’applications Web, de périphériques USB, d’imprimantes et autres avec un journal d’audit à accès centralisé.

Analyse de la cause première

Exploitez des options de filtrage de rapport granulaire pour faciliter l’analyse de la cause première et identifier la portée d’une violation.

Exigence 10.2

Mettre en œuvre des pistes d’audit automatisées pour tous les composants du système afin de reconstituer les événements suivants :

10.2.1 Tous les accès de chaque utilisateur à des données de titulaire

10.2.2 Toutes les actions exécutées par un utilisateur avec des droits racine ou administrateur

Vérifier l’activité des utilisateurs dans l’environnement en temps réel.
Suivre les modifications apportées par des utilisateurs ayant des droits d’administrateur.

Suivi de l’activité des fichiers

Suivez tous les événements de fichier et dossier (lecture, création, modification, remplacement, déplacement, changement de nom, suppression et modification d’autorisations) survenant dans l’environnement de stockage de données PCI et de titulaire de carte.

Suivi des utilisateurs privilégiés

Affichez les utilisateurs ayant un accès privilégié à des fichiers sensibles et personnalisez des rapports pour suivre toutes les modifications qu’ils y apportent.

Exigence 10.3

Consigner dans les pistes d’audit au moins les entrées suivantes pour chaque événement :

10.3.1 Identification de l’utilisateur

10.3.2 Type d’événement

10.3.3 Date et heure

10.3.4 Indication de succès ou d’échec

10.3.5 Origine de l’événement

10.3.6 Identité ou nom des données concernées

Collecter des journaux détaillés sur l’activité des utilisateurs dans l’environnement.

Audit des modifications en temps réel

Obtenez des détails complets sur chaque accès à un fichier, notamment l’auteur d’une tentative de modification, son type, le fichier concerné, le moment, le lieu d’origine et sa réussite.

Exigence 10.5

Protéger les pistes d’audit de sorte qu’elles ne puissent pas être modifiées.

10.5.5 Utiliser un outil de contrôle d’intégrité des fichiers ou de détection des modifications pour s’assurer que les données contenues dans les journaux ne peuvent pas être modifiées sans entraîner le déclenchement d’une alerte (alors que l’ajout de nouvelles données ne doit pas entraîner d’alerte).

Déployer des systèmes de contrôle d’intégrité des fichiers ou de détection pour vérifier les modifications des fichiers sensibles et envoyer des notifications en cas de tels événements.

Contrôle d’intégrité des fichiers PCI

Vérifiez l’échec ou la réussite de chaque tentative d’accès à un fichier en temps réel. Conservez une piste d’audit détaillée à des fins d’analyse.

Alertes en temps réel

Déclenchez des alertes instantanées pour avertir les intéressés lorsque des modifications de fichier suspectes sont détectées.

Automatisation de la réponse aux incidents de sécurité

Exécutez des actions automatisées pour minimiser les dommages potentiels en cas d’incident de sécurité.

Exigence 10.6

Examiner les journaux et les évènements de sécurité de tous les composants du système pour identifier les anomalies ou les activités suspectes.

Des examens réguliers des journaux aident à identifier les accès non autorisés à l’environnement de stockage et à y remédier de façon proactive. Cela réduit aussi le délai de détection d’une violation potentielle.

Remise planifiée de rapports de conformité PCI

Envoyez des rapports planifiés aux boîtes aux lettres des intéressés au format PDF, HTML, CSV ou XLSX.

Exigence 10.7

Conserver l’historique des audits pendant une année au moins, en gardant immédiatement à disposition les journaux des trois derniers mois au moins, pour analyse (par exemple, disponible en ligne, dans des archives ou pouvant être restauré à partir d’une sauvegarde).

Il faut souvent du temps pour déceler une compromission, raison pour laquelle la conservation des journaux pendant au moins un an garantit que les enquêteurs disposent d’un historique suffisant pour évaluer la durée d’une violation potentielle et son impact.

Rétention des journaux d’audit à long terme

Conservez les journaux d’audit pendant de longues périodes. Vous pouvez archiver des journaux plus anciens et les extraire ultérieurement pour analyser l’accès aux fichiers.

Exigence 11.5

Déployer un mécanisme de détection de changement (par exemple, outil de contrôle d’intégrité des fichiers) pour alerter le personnel de toute modification non autorisée (modification, ajout ou suppression) des fichiers critiques du système, fichiers de configuration ou fichiers de contenu et configurer l’outil pour qu’il effectue des comparaisons de fichier critique au moins une fois par semaine.

Suivre les modifications des exécutables du système, des exécutables d’application, des fichiers de configuration et de paramètres, etc.
Déclencher des alertes en cas de modifications imprévues.

Contrôle d’intégrité des fichiers

Vérifiez les changements apportés aux fichiers binaires d’application ou du système d’exploitation et aux fichiers de configuration, d’application, de journal et autres.

Alertes instantanées

Avertissez instantanément les administrateurs en cas de détection de modifications de fichier anormales.

Exécution d’une réponse aux incidents personnalisée

Automatisez l’exécution de fichiers de commandes pour arrêter des machines ou des sessions d’utilisateur, par exemple.

Exigence 12.3.10

Lors de l’accès du personnel aux données de titulaire au moyen de technologies d’accès à distance, interdire la copie, le déplacement et le stockage de données de titulaire sur des disques durs locaux et des supports électroniques amovibles, sauf autorisation expresse pour un besoin professionnel défini.

Empêcher les utilisateurs de stocker ou copier des données de titulaire sur leurs ordinateurs personnels locaux ou des supports, à moins qu’ils ne soient explicitement autorisés à le faire.

Protection contre la copie de fichiers

Surveillez les opérations de copie de fichiers en temps réel et évitez le transfert non autorisé de données sensibles entre des partages locaux et réseau.

Protection contre l’écriture USB

Bloquez les périphériques USB suspects et empêchez que des utilisateurs n’exfiltrent des données sensibles.

Exigence A3.2.5

Déployer une méthodologie d’analyse des données pour confirmer le champ d’application de la norme PCI DSS et pour localiser toutes les sources et les instances du PAN en texte clair au moins une fois par trimestre et lors de modifications importantes apportées à l’environnement ou aux processus de titulaire de carte.

A3.2.5.1

Les méthodes d’analyse des données doivent pouvoir identifier le PAN en texte clair pour tous les types de composants du système et les formats de fichiers utilisés.

A3.2.5.2

Déployer les procédures suivantes d’intervention à lancer lorsque le PAN en texte clair est détecté en dehors de l’environnement de stockage des données de titulaire :

Procédures pour déterminer la marche à suivre si un PAN en texte clair est identifié en dehors de l’environnement, comme son retrait, sa suppression sécurisée et/ou sa migration vers l’environnement actuellement défini, le cas échéant.
Procédures pour expliquer comment les données ont quitté l’environnement.
Procédures pour identifier la source des données.

Générer un rapport régulier sur l’emplacement des données de titulaire dans l’environnement de stockage.
Identifier les données sensibles résidant en dehors de l’environnement défini.
Prendre des mesures correctives si on détecte des données sensibles en dehors de l’environnement.

Analyse de données PCI planifiée

Identifiez et documentez les données PCI (notamment le PAN en texte clair) dans l’environnement de stockage de l’entreprise.

Visibilité multi-plateforme

Détectez les données de titulaire et PCI sensibles sur des serveurs de fichiers Windows, des clusters de basculement et des bases de données MSSQL.

Correction automatisée

Si des fichiers sensibles résident en dehors de l’environnement, on peut configurer DataSecurity Plus pour les supprimer ou les déplacer automatiquement, sinon les gérer.

Analyse de la propriété et l’accès

Déterminez le propriétaire des fichiers sensibles et suivez toutes les actions d’utilisateur dans la période analysée. On peut ainsi expliquer comment les données ont quitté l’environnement.

Exigence A3.2.6

Déployer les mécanismes requis pour détecter le PAN en texte clair et l’empêcher de quitter l’environnement via un canal non autorisé, une méthode ou un processus illicite, notamment en générant des journaux d’audit et des alertes.

A3.2.6.1

Déployer les procédures d’intervention à lancer en cas de tentative de suppression du PAN en texte clair de l’environnement via un canal non autorisé, une méthode ou un processus illicite.

Mettre en place des solutions de prévention des pertes de données (DLP) pour détecter et éviter des fuites via le courrier électronique, un support amovible ou une imprimante.

Plateforme unifiée de prévention des pertes de données

Classez les données sensibles et empêchez leur fuite via des périphériques de stockage externes, Outlook ou des imprimantes.

Contrôle de l’utilisation de périphériques

Limitez l’utilisation de périphériques USB, de points d’accès sans fil et de lecteurs de CD/DVD avec des stratégies de contrôle centralisé pour protéger contre l’exfiltration de données.

Prévention des fuites de données via des périphériques USB

Bloquez des périphériques USB à la suite de transferts de données anormaux et de tentatives d’exfiltrer des données sensibles.

Exigence A3.4.1

Examiner les comptes d’utilisateur et les privilèges d’accès aux composants du système concernés au moins une fois par semestre pour vérifier qu’ils restent adaptés à la fonction et autorisés comme il se doit.

Référence de la norme PCI DSS : exigence 7

Examiner les comptes d’utilisateur et les privilèges d’accès au moins une fois par semestre et vérifier qu’ils conviennent aux fonctions.

Analyse des autorisations de sécurité

Suivez les modifications d’autorisations, répertoriez les autorisations effectives, identifiez les fichiers accessibles par chaque employé ou localisez les utilisateurs avec droits de contrôle total pour veiller à appliquer le principe du privilège minimum.

On peut envoyer des rapports selon un calendrier établi à plusieurs intéressés.

Exigence A3.5.1

Déployer une méthodologie pour identifier rapidement les modèles d’attaque et le comportement indésirable sur les systèmes, par exemple en effectuant des examens manuels coordonnés et/ou en utilisant des outils de corrélation de journaux automatisés ou avec une gestion centralisée, en intégrant au minimum ce qui suit :

Identification des anomalies ou des activités suspectes en temps réel.
Déclenchement d’alertes à temps lorsque le personnel détecte des activités suspectes ou des anomalies.
Réponse aux alertes conformément aux procédures d’intervention documentées.

Référence de la norme PCI DSS : exigences 10, 12

Déployez une solution pour identifier les événements indésirables, comme les modifications de fichiers sensibles et les intrusions, et avertir instantanément les administrateurs.

Détection d’anomalies

Identifiez les anomalies d’activité des utilisateurs comme des accès aux fichiers en dehors des heures de bureau, un nombre excessif d’échecs d’accès, etc.

Alertes rapides

Configurez des alertes sur les modifications non autorisées de fichiers critiques, l’analyse des données sensibles en dehors de l’environnement, etc.

Détection des menaces et réponse

Détectez les intrusions de rançongiciel et exécutez des scripts pour mettre en quarantaine les machines infectées et éviter la propagation de logiciels malveillants.

Exclusion de responsabilité : le plein respect de la loi POPI exige une diversité de solutions, de procédures, de rôles et de technologies. Ce document fourni à titre informatif uniquement ne constitue pas des conseils juridiques pour le respect de la loi POPI. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans le présent document.

Veiller à la sécurité des données et à la conformité

DataSecurity Plus permet de remplir les exigences de nombreuses réglementations de conformité en protégeant les données en cours d’utilisation, en transit ou au repos.

Mise en conformité PCI DSS avec DataSecurity Plus