Politique de sécurité des cartes de crédits



- AMINE DEZZAZPropriétaire, PDG

Date effective : 17 avril 2020

Dernière mise à jour du contenu : 17 avril 2020


Objectif

Cette politique explique les exigences de sécurité des cartes de crédit de AMINE DEZZAZ et digitalcontenu.com  telles que requises par le programme de norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). La direction de AMINE DEZZAZ et digitalcontenu.com  à respecter ces politiques de sécurité pour protéger les informations utilisées par AMINE DEZZAZ et digitalcontenu.com pour atteindre ses objectifs commerciaux. Tout les employés sont tenus de respecter les politiques décrites dans ce document


Portée de la conformité

 Les exigences PCI s'appliquent à tous les systèmes qui stockent, traitent ou transmettent des données de titulaire de carte. Actuellement, l'environnement des titulaires de carte de AMINE DEZZAZ et digitalcontenu.com se compose uniquement d'applications de paiement limitées (généralement des systèmes de point de vente) connectées à Internet, mais n'inclut pas le stockage des données des titulaires de carte sur un système informatique.


En raison de la nature limitée de l'environnement dans le champ d'application, cette politique est destinée à répondre aux exigences PCI telles que définies dans le Questionnaire d'auto-évaluation (SAQ) C, ver. 2.0, octobre 2010 et digitalcontenu.com ,pour déterminer les critères de conformité appropriés et mettre en œuvre des politiques et des contrôles supplémentaires si nécessaire.


Politique

Exigence 1 : Construire et maintenir un réseau sécurisé


Configuration du pare-feu

 

Les pare-feu doivent restreindre les connexions entre les réseaux non approuvés et tout système dans l'environnement de données du titulaire de carte. Un « réseau non approuvé » est un réseau externe aux réseaux appartenant à l'entité examinée et/ou qui n'est pas en mesure de contrôler ou de gérer l'entité. (Exigence PCI 1.2)

Le trafic entrant et sortant doit être limité à ce qui est nécessaire pour l'environnement de données du titulaire de carte. Tout autre trafic entrant et sortant doit être spécifiquement refusé. (Exigence PCI 1.2.1)

Tous les ports et services ouverts doivent être documentés. La documentation doit inclure le port ou le service, la source et la destination, et une justification commerciale pour l'ouverture dudit port ou service. (Exigence PCI 1.2.1)

Des pare-feux de périmètre doivent être installés entre tous les réseaux sans fil et l'environnement de données du titulaire de carte. Ces pare-feu doivent être configurés pour refuser ou contrôler (si un tel trafic est nécessaire à des fins commerciales) tout trafic provenant de l'environnement sans fil vers l'environnement de données du titulaire de carte. (Exigence PCI 1.2.3)

La configuration du pare-feu doit interdire l'accès public direct entre Internet et tout composant du système dans l'environnement de données du titulaire de la carte comme suit :

  • Les connexions directes sont interdites pour le trafic entrant et sortant entre Internet et l'environnement de données du titulaire de carte (Exigence PCI 1.3.3)

  • Le trafic sortant de l'environnement de données du titulaire de carte vers Internet doit être explicitement autorisé (Exigence PCI 1.3.5)
  • Les pare-feu doivent mettre en œuvre une inspection avec état, également connue sous le nom de filtrage de paquets dynamique (exigence PCI 1.3.6)


Exigence 2 : Ne pas utiliser les valeurs par défaut fournies par le fournisseur pour les mots de passe système et autres paramètres de sécurité

Valeurs par défaut du fournisseur

Les valeurs par défaut fournies par le fournisseur doivent toujours être modifiées avant d'installer un système sur le réseau. Des exemples de valeurs par défaut du fournisseur incluent les mots de passe, les chaînes de communauté SNMP et l'élimination des comptes inutiles. (Exigence PCI 2.1)

Les paramètres par défaut des systèmes sans fil doivent être modifiés avant la mise en œuvre. Les paramètres par défaut de l'environnement sans fil incluent, sans s'y limiter :

  • Clés de chiffrement par défaut
  • Mots de passe
  • Chaînes de communauté SNMP
  • Mots de passe/phrases de passe par défaut sur les points d'accès
  • Autres valeurs par défaut du fournisseur sans fil liées à la sécurité, le cas échéant

Le micrologiciel des appareils sans fil doit être mis à jour pour prendre en charge un cryptage fort pour l'authentification et la transmission de données sur les réseaux sans fil. (Exigence PCI 2.1.1)


Services et protocoles inutiles

Seuls les services, protocoles, démons, etc. nécessaires au fonctionnement du système peuvent être activés. Tous les services et protocoles qui ne sont pas directement nécessaires pour exécuter la fonction spécifiée de l'appareil doivent être désactivés. (Exigence PCI 2.2.2)


Accès administratif sans console

Les informations d'identification pour l'accès administratif hors console doivent être chiffrées à l'aide de technologies telles que SSH, VPN ou SSL/TLS. Les technologies de chiffrement doivent inclure les éléments suivants : (Exigence PCI 2.3)

  • Doit utiliser une cryptographie forte et la méthode de cryptage doit être invoquée avant que le mot de passe de l'administrateur ne soit demandé
  • Les services système et les fichiers de paramètres doivent être configurés pour empêcher l'utilisation de telnet et d'autres commandes de connexion à distance non sécurisées
  • Doit inclure un accès administrateur aux interfaces de gestion Web

Exigence 3 : Protéger les données stockées des titulaires de carte


Données interdites

Des processus doivent être en place pour supprimer en toute sécurité les données d'authentification sensibles après l'autorisation afin que les données soient irrécupérables. (Exigence PCI 3.2)

 Les systèmes de paiement doivent respecter les exigences suivantes concernant le non-stockage des données d'authentification sensibles après autorisation (même cryptées) :

  • Le contenu complet des données de piste de la bande magnétique (situé au dos d'une carte, données équivalentes contenues sur une puce ou ailleurs) n'est en aucun cas stocké (Exigence PCI 3.2.1)
  • Le code ou la valeur de vérification de la carte (numéro à trois ou quatre chiffres imprimé au recto ou au verso d'une carte de paiement) n'est en aucun cas stocké (Exigence PCI 3.2.2)
  • Le numéro d'identification personnel (PIN) ou le bloc PIN crypté ne sont en aucun cas stockés (Exigence PCI 3.2.3)


Affichage du PAN

AMINE DEZZAZ et digitalcontenu.com masqueront l'affichage des PAN (numéros de compte principal) et limiteront l'affichage des PAN aux seuls employés et autres parties ayant un besoin légitime. Un numéro correctement masqué n'affichera que les six premiers et les quatre derniers chiffres du PAN. (Exigence PCI 3.3)


Exigence 4 : Chiffrer la transmission des données des titulaires de carte sur des réseaux publics ouverts

Transmission des données du titulaire de la carte

Les données des titulaires de carte envoyées sur des réseaux publics ouverts doivent être protégées par l'utilisation de protocoles de cryptographie ou de sécurité puissants (par exemple, IPSEC, SSLTLS). Seuls les clés et/ou certificats de confiance peuvent être acceptés. Pour les implémentations SSL/TLS, HTTPS doit apparaître dans l'URL et les données du titulaire de carte ne peuvent être saisies que lorsque HTTPS apparaît dans l'URL. (Exigence PCI 4.1)

Les meilleures pratiques de l'industrie (par exemple, IEEE 802.11i) doivent être utilisées pour mettre en œuvre un cryptage fort pour l'authentification et la transmission pour les réseaux sans fil transmettant des données de titulaire de carte ou connectés à l'environnement de données de titulaire de carte. (Exigence PCI 4.1.1)

L'envoi de PAN non cryptés par les technologies de messagerie de l'utilisateur final est interdit. Des exemples de technologies d'utilisateurs finaux incluent le courrier électronique, la messagerie instantanée et le chat. (Exigence PCI 4.2)


Exigence 5 : utiliser et mettre à jour régulièrement les logiciels ou programmes antivirus

Antivirus

Tout les systèmes, en particulier les ordinateurs personnels et les serveurs couramment affectés par les virus, doivent avoir installé un programme antivirus capable de détecter, supprimer et protéger contre tous les types connus de logiciels malveillants. (Exigence PCI 5.1, 5.1.1)

 Tous les programmes antivirus doivent être tenus à jour grâce à des mises à jour automatiques, être en cours d'exécution, être configurés pour exécuter des analyses périodiques et capables de générer des journaux d'audit. Les journaux antivirus doivent être conservés conformément à l'exigence PCI 10.7. (Exigence PCI 5.2)


Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés

Correctifs de sécurité

 Tous les correctifs de sécurité critiques à haut risque doivent être appliqués dans les 14 jours suivant leur publication. Cela inclut les correctifs pertinents pour les systèmes d'exploitation et toutes les applications installées. (Exigence PCI 6.1)

Exigence 7 : Restreindre l'accès aux données des titulaires de carte par besoin de savoir de l'entreprise


Limiter l'accès aux données du titulaire de carte

L'accès aux composants et aux données du système de titulaires de carte de AMINE DEZZAZ et digitalcontenu.com est limité aux seules personnes dont les emplois nécessitent un tel accès. (Exigence PCI 7.1)

Les limitations d'accès doivent inclure les éléments suivants :

  • Les droits d'accès pour les identifiants d'utilisateur privilégiés doivent être limités aux privilèges les plus bas nécessaires pour exécuter les responsabilités du travail (Exigence PCI 7.1.1)
  • Les privilèges doivent être attribués aux personnes en fonction de la classification et de la fonction du poste (également appelé « contrôle d'accès basé sur les rôles » (Exigence PCI 7.1.2)


Exigence 8 : Attribuer un identifiant unique à chaque personne ayant accès à l'ordinateur

Accès à distance

L'authentification à deux facteurs doit être intégrée pour l'accès à distance (accès au niveau du réseau provenant de l'extérieur du réseau) au réseau par les employés, les administrateurs et les tiers. (Exigence PCI 8.3)


Comptes fournisseurs

Tous les comptes utilisés par les fournisseurs pour la maintenance à distance ne doivent être activés que pendant la période nécessaire. Les comptes d'accès à distance des fournisseurs doivent être surveillés lorsqu'ils sont utilisés. (Exigence PCI 8.5.6)


Exigence 9 : Restreindre l'accès physique aux données du titulaire de carte

Sécurisez physiquement tous les supports contenant des données de titulaire de carte

Les documents papier contenant des informations confidentielles ou sensibles (par exemple, reçus papier, rapports papier, télécopies, etc.) sont soumis aux directives de stockage suivantes :

  • Tous les médias doivent être physiquement sécurisés. (Exigence PCI 9.6)

Un contrôle strict doit être maintenu sur la distribution interne ou externe de tout type de support contenant des données de titulaire de carte. Ces contrôles doivent inclure :

  • Les supports doivent être classés afin que la sensibilité des données puisse être déterminée (Exigence PCI 9.7.1)
  • Les supports doivent être envoyés par un transporteur sécurisé ou un autre mode de livraison pouvant être suivi avec précision (Exigence PCI 9.7.2)

Les logs doivent être conservés pour suivre tous les supports déplacés depuis une zone sécurisée, et l'approbation de la direction doit être obtenue avant de déplacer les supports. (Exigence PCI 9.8)

Un contrôle strict doit être maintenu sur le stockage et l'accessibilité des supports contenant des données de titulaire de carte. (Exigence PCI 9.9)


Destruction des données

Tous les supports contenant des données de titulaire de carte doivent être détruits lorsqu'ils ne sont plus nécessaires pour des raisons commerciales ou juridiques. (Exigence PCI 9.10)

Les supports papier doivent être détruits par déchiquetage, incinération ou réduction en pâte afin que les données des titulaires de carte ne puissent pas être reconstituées. Le conteneur stockant des informations en attente de destruction doit être sécurisé pour empêcher l'accès au contenu. (Exigence PCI 9.10.1)


Exigence 11 : Tester régulièrement les systèmes et processus de sécurité

Test des points d'accès sans fil non autorisés

Au moins une fois par trimestre, AMINE DEZZAZ et digitalcontenu.com effectueront des tests pour s'assurer qu'aucun point d'accès sans fil non autorisé n'est présent dans l'environnement du titulaire de carte. (Exigence PCI 11.1)

Ce test doit détecter et identifier tous les points d'accès sans fil non autorisés, y compris au moins les suivants :

  • Cartes WLAN insérées dans les composants du système
  • Les appareils sans fil portables connectés aux composants du système (par exemple, par USB, etc.)
  • Périphériques sans fil connectés à un port réseau ou à un périphérique réseau

Si une surveillance automatisée est utilisée (par exemple, IDS/IPS sans fil, NAC, etc.), elle doit être configurée pour générer des alertes.

La détection des appareils sans fil non autorisés doit être incluse dans le plan de réponse aux incidents (voir l'exigence PCI 12.9).


Analyse des vulnérabilités

Au moins une fois par trimestre et après tout changement important dans le réseau (tels que les nouvelles installations de composants système, les changements de topologie du réseau, les modifications des règles de pare-feu, les mises à niveau des produits), la Minnesota State Community and Technical College effectuera une analyse des vulnérabilités sur tous les systèmes concernés. (Exigence PCI 11.2)

Les analyses de vulnérabilité internes doivent être répétées jusqu'à ce que des résultats satisfaisants soient obtenus, ou jusqu'à ce que toutes les vulnérabilités « élevées » telles que définies dans l'exigence PCI 6.2 soient résolues. (Exigence PCI 11.2.1, 11.2.3)

 Les résultats trimestriels de l'analyse des vulnérabilités doivent satisfaire aux exigences du guide du programme ASV (par exemple, aucune vulnérabilité notée supérieure à 4.0 par le CVSS et aucune défaillance automatique. Les analyses de vulnérabilité externes doivent être effectuées par un fournisseur d'analyse agréé (ASV), approuvé par la carte de paiement. Conseil des normes de sécurité de l'industrie (PCI SSC) (Exigence PCI 11.2.2, 11.2.3)

 Exigence 12 : Maintenir une politique qui traite de la sécurité de l'information pour les employés et les sous-traitants


Politique de sécurité

AMINE DEZZAZ et PANADIDA™ établiront, publieront, maintiendront et diffuseront une politique de sécurité qui explique comment l'entreprise protégera les données des titulaires de carte. (Exigence PCI 12.1)

Cette politique doit être révisée au moins une fois par an et doit être mise à jour au besoin pour refléter les changements apportés aux objectifs commerciaux ou à l'environnement de risque. (Exigence PCI 12.1.3)


Technologies critiques

NOUREDDDINE et digitalcontenu.com établiront des politiques d'utilisation pour les technologies critiques (par exemple, les technologies d'accès à distance, les technologies sans fil, les supports électroniques amovibles, les ordinateurs portables, les tablettes, les données personnelles/assistants numériques (PDA), le courrier électronique et l'utilisation d'Internet. (PCI exigence 12.3)

Ces politiques doivent inclure les éléments suivants :

  • Approbation explicite par les parties autorisées d'utiliser les technologies (Exigence PCI 12.3.1)
  • Authentification pour l'utilisation de la technologie (Exigence PCI 12.3.2)
  • Une liste de tous ces appareils et du personnel ayant accès (Exigence PCI 12.3.3)
  • Utilisations acceptables des technologies (Exigence PCI 12.3.5)
  • Emplacements de réseau acceptables pour les technologies (Exigence PCI 12.3.6)
  • Déconnexion automatique des sessions pour les technologies d'accès à distance après une période d'inactivité spécifique (Exigence PCI 12.3.8)
  • Activation des technologies d'accès à distance pour les fournisseurs et les partenaires commerciaux uniquement lorsque les fournisseurs et les partenaires commerciaux en ont besoin, avec désactivation immédiate après utilisation (Exigence PCI 12.3.9)


Responsabilités en matière de sécurité

Les politiques et procédures de AMINE DEZZAZ et digitalcontenu.com doivent définir clairement les responsabilités de sécurité de l'information pour tout le personnel. (Exigence PCI 12.4)


Politique de réponse aux incidents

L'administrateur de la sécurité des systèmes doit établir, documenter et diffuser des procédures de réponse aux incidents de sécurité et d'escalade pour assurer un traitement rapide et efficace de toutes les situations. (Exigence PCI 12.5.3)


Identification des incidents

Les employés doivent être conscients de leurs responsabilités dans la détection des incidents de sécurité afin de faciliter le plan et les procédures de réponse aux incidents. Tous les employés ont la responsabilité de participer aux procédures d'intervention en cas d'incident dans leurs domaines de responsabilité particuliers. Voici quelques exemples d'incidents de sécurité qu'un employé peut reconnaître dans ses activités quotidiennes :µ


  • Vol, dommages ou accès non autorisé (par exemple, papiers manquants sur leur bureau, serrures cassées, fichiers journaux manquants, alerte d'un agent de sécurité, preuve vidéo d'une effraction ou d'une entrée physique imprévue/non autorisée)
  • Fraude - Informations inexactes dans les bases de données, les journaux, les fichiers ou les enregistrements papier

Signaler un incident

L'administrateur de la sécurité des systèmes doit être immédiatement informé de tout incident de sécurité suspecté ou réel impliquant des données de titulaire de carte :

Contactez l'administrateur de la sécurité des systèmes pour signaler tout incident suspect ou réel. Le numéro de téléphone de l'audit interne doit être bien connu de tous les employés et doit avertir quelqu'un en dehors des heures de bureau.

Personne ne doit communiquer avec qui que ce soit en dehors de son(ses) superviseur(s) ou de l'administrateur de la sécurité des systèmes au sujet des détails ou des généralités entourant un incident suspecté ou réel. Toutes les communications avec les forces de l'ordre ou le public seront coordonnées par le doyen exécutif de Technology Solutions.

Documentez toutes les informations que vous connaissez en attendant que l'administrateur de la sécurité des systèmes réponde à l'incident. S'il est connu, cela doit inclure la date, l'heure et la nature de l'incident. Toute information que vous pouvez fournir vous aidera à répondre de manière appropriée.


Réponse aux incidents

Les réponses peuvent inclure ou passer par les étapes suivantes : identification, classification de la gravité, confinement, éradication, récupération et analyse des causes profondes résultant en une amélioration des contrôles de sécurité.

Contenir, éradiquer, récupérer et effectuer une analyse des causes profondes

  1. Avertissez les associations de cartes concernées.


Visa

Fournir les comptes Visa compromis à Visa Fraud Control Group dans les dix (10) jours ouvrables. Pour obtenir de l'aide, composez le 1-(650)-432-2978. Les numéros de compte doivent être envoyés en toute sécurité à Visa conformément aux instructions du groupe de contrôle de la fraude Visa. Il est essentiel que tous les comptes potentiellement compromis soient fournis. Visa distribuera les numéros de compte Visa compromis aux émetteurs et assurera la confidentialité de l'entité et des informations non publiques. Consultez la documentation « Que faire en cas de compromission » de Visa pour connaître les activités supplémentaires qui doivent être effectuées. Cette documentation est disponible sur http://usa.visa.com/download/business/accepting_visa/ops_risk_managemen…


MasterCard

Contactez votre banque d'affaires pour plus de détails sur la marche à suivre suite à un compromis. Des détails sur la banque d'affaires (alias l'acquéreur) peuvent être trouvés dans le manuel du commerçant à l'adresse http://www.mastercard.com/us/wce/PDF/12999_MERC-Entire_Manual.pdf. Votre banque d'affaires vous aidera lorsque vous appelez MasterCard au 1-(636)-722-4100.


Découvrir la carte

Contactez votre chargé de relations ou appelez la ligne d'assistance à l'adresse EMAIL pour obtenir des conseils supplémentaires.

  1. Alertez toutes les parties nécessaires. N'oubliez pas de notifier :
  • une Banque d'affaires
  1. Bureau local du FBI
  2. Service secret américain (si les données de paiement Visa sont compromises)
  • ré. Autorités locales (le cas échéant)
  1. Effectuez une analyse des exigences légales pour signaler les compromissions dans chaque état où les clients ont été affectés. La source d'information suivante doit être utilisée : http://www.ncsl.org/programs/lis/cip/priv/breach.htm
  2. Collecter et protéger les informations associées à l'intrusion. Dans le cas où une enquête médico-légale est requise, le DPI travaillera avec le service juridique et la direction pour identifier les spécialistes médico-légaux appropriés.
  1. Éliminez les moyens d'accès de l'intrus et toutes les vulnérabilités associées.
  2. Rechercher les risques potentiels liés ou les dommages causés par la méthode d'intrusion utilisée.


Analyse des causes profondes et leçons apprises

Pas plus d'une semaine après l'incident, les membres du service informatique et toutes les parties concernées se réuniront pour examiner les résultats de toute enquête afin de déterminer la cause première de la compromission et d'évaluer l'efficacité du plan de réponse aux incidents. Examinez les autres contrôles de sécurité pour déterminer leur adéquation aux risques actuels. Tous les domaines identifiés dans lesquels le plan, la politique ou le contrôle de sécurité peuvent être rendus plus efficaces ou efficients doivent être mis à jour en conséquence.


Sensibilisation à la sécurité

NOUREDDDINE et digitalcontenu.com établiront et maintiendront un programme formel de sensibilisation à la sécurité pour sensibiliser tout le personnel à l'importance de la sécurité des données des titulaires de carte. (Exigence PCI 12.6)


Les fournisseurs de services

NOUREDDDINE et digitalcontenu.com mettront en œuvre et maintiendront des politiques et des procédures pour gérer les fournisseurs de services. (Exigence PCI 12.8). Ce processus doit inclure les éléments suivants :

  • Tenir à jour une liste de fournisseurs de services (exigence PCI 12.8.1)
  • Maintenir un accord écrit qui comprend une reconnaissance que les fournisseurs de services sont responsables de la sécurité des données du titulaire de carte que les fournisseurs de services possèdent (exigence PCI 12.8.2)
  • Mettre en œuvre un processus pour effectuer une vérification préalable appropriée avant d'engager un fournisseur de services (exigence PCI 12.8.3)
  • Surveiller l'état de conformité PCI DSS des fournisseurs de services (exigence PCI 12.8.4)


Politique d'utilisation acceptable par les employés pour le traitement des données de carte de paiement

Objectif

Cette politique est conçue comme un complément aux politiques, procédures et directives du système dans le but de répondre aux exigences des commerçants PCI DSS SAQ C. Cette politique s'applique à tous les systèmes NOUREDDDINE et digitalcontenu.com qui stockent, traitent ou transmettent les données des titulaires de carte et les utilisateurs ayant accès aux données des titulaires de carte.


Politique

Tout le personnel, les employés du système ou les sous-traitants, qui sont autorisés à utiliser des appareils qui traitent ou stockent les données des titulaires de carte doivent adhérer aux politiques, procédures et directives d'utilisation du système, y compris la politique 5.22 du système de l'État du Minnesota. Utilisation acceptable des ressources informatiques et informatiques et du système de l'État du Minnesota Procédure 5.22 .1 Utilisation acceptable des ordinateurs et des ressources informatiques.

NOUREDDDINE et digitalcontenu.com tiennent à jour une liste de tous les appareils qui traitent ou stockent les données des titulaires de carte, ainsi qu'une liste du personnel autorisé à utiliser les appareils. Les appareils sont étiquetés avec un objectif, un propriétaire et leurs coordonnées. NOUREDDDINE et digitalcontenu.com  tiennent à jour une liste de tous les produits et prestataires de services.

Des politiques et procédures sont maintenues et mises en œuvre pour gérer les prestataires de services qui traitent les données des titulaires de carte de NOUREDDDINE et digitalcontenu.com. Lorsque les données du titulaire de la carte sont partagées avec des fournisseurs de services, NOUREDDDINE et digitalcontenu.com exigent une reconnaissance écrite que la sécurité des données relève de la responsabilité du fournisseur. Un programme est mis en œuvre pour surveiller la conformité des fournisseurs de services à la norme PCI DSS.


Contrôle d'accès

Objectif

Cette politique est conçue comme un complément aux politiques, procédures et directives du système dans le but de répondre aux exigences des commerçants PCI DSS SAQ C. Cette politique s'applique à tous les systèmes NOUREDDDINE et digitalcontenu.com qui stockent, traitent ou transmettent les données des titulaires de carte et les utilisateurs ayant accès aux données des titulaires de carte.


Politique

Tous les systèmes de l'environnement de traitement des paiements doivent être protégés à l'aide d'un nom d'utilisateur et d'un mot de passe uniques. Les comptes d'utilisateurs uniques indiquent que chaque compte utilisé est associé à un utilisateur et/ou un processus individuel sans utilisation de comptes de groupe génériques utilisés par plus d'un utilisateur ou processus.

 Tous les comptes par défaut fournis avec les systèmes d'exploitation, les bases de données et/ou les appareils doivent être supprimés, désactivés ou renommés dans la mesure du possible. Tous les comptes doivent répondre aux exigences de mot de passe PCI-DSS.

 La norme PCI exige que les mots de passe répondent aux exigences suivantes :

 Exigences de mot de passe

  • Les mots de passe doivent comporter au moins 7 caractères et au maximum 15
  • Les mots de passe doivent inclure à la fois des caractères numériques et alphabétiques o Les mots de passe doivent être modifiés au moins tous les 90 jours
  • Les nouveaux mots de passe ne peuvent pas être les mêmes que les 4 derniers mots de passe Les comptes d'utilisateur dans l'environnement de données de carte seront également soumis aux exigences suivantes
  • Si un mot de passe incorrect est fourni 6 fois, le compte doit être verrouillé o La durée de verrouillage du compte doit être d'au moins 30 minutes. (ou jusqu'à ce qu'un administrateur le réinitialise)
  • Les sessions inactives pendant plus de 15 minutes doivent requérir la saisie du nom d'utilisateur et du mot de passe pour réactiver la session

Les comptes au sein de l'environnement de données de carte sont également soumis aux exigences suivantes:

  • Verrouillage par mot de passe incorrect
  • Les comptes seront verrouillés après 5 tentatives infructueuses de connexion au système
  • Durée de verrouillage
  • Suite à des tentatives de connexion non valides, les comptes seront verrouillés hors du système pendant 30 minutes ou jusqu'à ce qu'un administrateur système déverrouille le compte
  • Durée de verrouillage du temps d'inactivité
  • Les sessions de bureau à distance se termineront après une heure d'inactivité
  • La session de bureau à distance déconnectée expirera une heure après la déconnexion.


Accès à distance

Objectif

Cette politique est conçue comme un complément aux politiques, procédures et directives du système dans le but de répondre aux exigences des commerçants PCI DSS SAQ C. Cette politique s'applique à tous les systèmes NOUREDDDINE et digitalcontenu.com qui stockent, traitent ou transmettent les données des titulaires de carte et les utilisateurs ayant accès aux données des titulaires de carte.


Politique

Tous les employés, administrateurs ou fournisseurs autorisés à accéder à distance à l'environnement de données de carte doivent être configurés avec une authentification à deux facteurs. Les comptes tiers ne seront actif alors que l'accès est requis pour le service rendu, et sera audité par le système pendant la connexion. L'accès à distance des tiers doit être désactivé immédiatement après