Hermitage Solutions

Quelles solutions de sécurité pour répondre aux exigences PCI DSS ?

Suite à de nombreuses demandes sur le sujet PCI DSS (PCI Data Security Standard), Hermitage Solutions spécialiste en sécurité informatique, fait le point sur ce standard tout en vous apportant des réponses quant aux solutions de sécurité de notre catalogue qui conviennent: 

• Qu’est ce que PCI DSS?
• Quelles sont les différentes exigences pour être en conformité avec standard PCI DSS ?

• Quelles sont les solutions distribuées par Hermitage Solutions permettant de répondre à ces exigences ?

Qu’est ce que le PCI DSS ?

Le PCI DSS réunit un ensemble d’exigences pour assurer la sécurité des données des cartes de crédit. A noter que la part croissante du commerce électronique dans les habitudes de consommation modernes ne fait qu’apporter encore plus de poids à ce standard.

PCI DSS a été fondé dès 2005 par un consortium de grandes marques de cartes crédit appelé PCI Security Standards Council, incluant American Express, Discover Financial Service, JCB International, Master Card WorldWide et Visa Inc. International. Désormais le consortium indépendant nommé PCI SA s’occupe de maintenir ce standard et de le faire évoluer parallèlement avec les nouvelles menaces de sécurité informatique. D’ailleurs, ce consortium a publié le 1er Octobre 2008, la version 1.2 du PCI DSS.

Ce standard est destiné à tout professionnel manipulant des données de cartes de crédit,  en avant poste les banques bien entendu, mais aussi les détaillants, les entreprises de commerce électronique, les sociétés de traitement de règlements, les points de vente ou n’importe quelle boutique en ligne qui doit désormais répondre à certaines exigences en matière de sécurité et de confidentialité de l’information.

A noter que le non respect de ces exigences peut entrainer dans certains cas des pénalités financières conséquentes.

Les exigences PCI DSS et les solutions de sécurité adaptées

PCI DSS version 1.2 réunit 12 exigences de sécurité réparties dans 6 sections principales allant de la sécurité du réseau, jusqu’à la sécurité des accès en passant par la sécurité de la donnée elle-même :

Construire et maintenir un réseau sécurisé

• Exigence 1 : Installer et maintenir une configuration pare-feu et routeur afin de protéger les données de cartes de crédit

Hermitage Solutions distribue deux pare-feux qui peuvent répondre tout deux à cette première exigence:

• Exigence 2 : Ne pas utiliser les mots de passe ou autres paramètres de sécurité par défaut fournis par l’éditeur.  Il s’agit donc de changer dès la 1ère utilisation tout mot de passe initialement imposé par le fournisseur.

Hermitage Solutions distribue les clés eToken Aladdin qui peuvent permettre aux utilisateurs de stocker et de gérer de façon sécurisée tous leurs identifiants de connexion sur un seul et même dispositif eToken – Pour ne retenir plus qu’un seul mot de passe !

Protéger les données des titulaires de cartes bancaires

• Exigence 3 : Protéger les données de cartes bancaires stockées

Hermitage Solutions distribue les solutions de chiffrement PGP afin de protéger la confidentialité des données, ainsi que la solution de DLP Code Green Networks pour empêcher que toute donnée sensible (numéro de carte bancaire) ne sorte du réseau de l’entreprise.

• Exigence 4 : Chiffrer toute transmission de données bancaires à travers des réseaux publics

Les solutions de chiffrement PGP répondent bien évidemment à ce besoin. Hermitage Solutions distribue également une solution VPN SSL nommée Array Networks afin d’établir des connexions sécurisées et fiables.

Maintenir un processus de gestion des vulnérabilité

• Exigence 5 : Utiliser et maintenir son logiciel antivirus à jour

• Exigence 6 : Développer et maintenir la sécurité des systèmes et des applications

Hermitage Solutions distribue une solution nommée « phion airlock » spécialement conçue pour sécuriser les applications et les Web services des organisations.

phion airlock est membre de la PCI Security Vendor Alliance, à ce titre la solution est donc reconnue pour répondre parfaitement à certaines exigences de le norme PCI DSS, notamment l’exigence 6.

Mise en oeuvre de mesures strictes en terme de contrôle d’accès

• Exigence 7 : Restreindre l’accès aux données bancaires aux seuls utilisateurs qui en ont besoin (« business need to know »)

Toutes nos solutions de sécurité possèdent des consoles d’administration capables de donner des droits par utilisateur ou groupe d’utilisateurs afin d’effectuer une délégation d’administration.

• Exigence 8 : Assigner un unique identifiant à chaque personne ayant accès aux données bancaires

Hermitage Solutions distribue les solutions OpenTrust et Aladdin pour la gestion des identités numériques et l’authentification forte des utilisateurs.

• Exigence 9 : Restreindre l’accès physique aux serveurs contenant les données bancaires

Hermitage Solutions ne distribue pas de solutions de sécurité physique.

Surveiller et tester régulièrement votre réseau

• Exigence 10 : Surveiller et tracer tous les accès aux ressources du réseau et aux données bancaires

Toutes nos solutions de sécurité possèdent des systèmes de gestion d’évènements et de logs.

• Exigence 11 : Tester régulièrement la sécurité de vos processus et de vos systèmes

Hermitage Solutions distribue NetClarity, une solution NAC sans client à déployer, pour le contrôle et l’audit de l’état de votre réseau ainsi que pour la surveillance de chaque dispositif connecté au réseau de votre entreprise.

Maintenir une politique de sécurité de l’information

• Exigence 12 : Maintenir une politique de sécurité de l’information et la communiquer aux différents collaborateurs, partenaires, contractants…

Si vous avez des questions, n’hésitez pas à nous contacter, nous restons à votre disposition pour tout renseignement sur nos solutions de sécurité.