Vous êtes sur la page 1sur 326

ANNEXE A

A.5 Politique de scurit A.5.1 Politique de scurit de l'information Objectif: Apporter la scurit de linformation une orientation et un soutien de la part de la direction, conformment aux exigences mtier et aux lois et rglements en vigueur. A.5.1.1 Document de politique de scurit de linformation Mesure Un document de politique de scurit de linformation doit tre approuv par la direction, puis publi et diffus auprs de lensemble des salaris et des tiers concerns.

A.5.1.2 Rexamen de la politique de scurit de linformation Mesure Pour garantir la pertinence, ladquation et lefficacit de la politique de scurit de linformation, la politique doit tre rexamine intervalles fixs pralablement ou en cas de changements majeurs. A.6 Organisation de la scurit de linformation

A.6.1 Organisation interne Objectif: Grer la scurit de linformation au sein de lorganisme. A.6.1.1 Implication de la direction vis--vis de la scurit de l'information Mesure La direction doit soutenir activement la politique de scurit au sein de lorganisme au moyen de directives claires, dun engagement dmontr, dattribution de fonctions explicites et dune reconnaissance des responsabilits lies la scurit de linformation. A.6.1.2 Coordination de la scurit de l'information Mesure Les activits relatives la scurit de linformation doivent tre coordonnes par des intervenants ayant des fonctions et des rles appropris reprsentatifs des diffrentes parties de lorganisme. A.6.1.3 Attribution des responsabilits en matire de scurit de linformation Mesure Toutes les responsabilits en matire de scurit de linformation doivent tre dfinies clairement. A.6.1.4 Systme dautorisation concernant les moyens de traitement de linformation Mesure Un systme de gestion des autorisations doit tre dfini et mis en oeuvre pour chaque nouveau moyen de traitement de linformation.

A.6.1.5 Engagements de confidentialit Mesure Les exigences en matire dengagements de confidentialit ou de non-divulgation, conformment aux besoins de lorganisme, doivent tre identifies et rexamines rgulirement. A.6.1.6 Relations avec les autorits Mesure Des relations appropries doivent tre mises en place avec les autorits comptentes.

6.1.7 Relations avec des groupes de spcialistes


Mesure Des contacts appropris doivent tre entretenus avec des groupes de spcialistes, des forums spcialiss dans la scurit et des associations professionnelles. A.6.1.8 Rexamen indpendant de la scurit de linformation

Mesure

Des rexamens rguliers et indpendants de lapproche retenue par lorganisme pour grer et mettre en oeuvre sa scurit (c'est-dire le suivi des objectifs de scurit, les politiques, les procdures et les processus relatifs la scurit de linformation) doivent tre effectus; de tels rexamens sont galement ncessaires lorsque des changements importants sont intervenus dans la mise en uvre de la scurit. A.6.2 Tiers Objectif: Assurer la scurit de l'information et des moyens de traitement de l'information appartenant l'organisme et consults, traits, communiqus ou grs par des tiers. A.6.2.1 Identification des risques provenant des tiers Mesure Les risques pesant sur linformation et les moyens de traitement de lorganisme qui dcoulent dactivits impliquant des tiers doivent tre identifis, et des mesures appropries doivent tre mises en uvre avant daccorder des accs. A.6.2.2 La scurit et les clients Mesure Tous les besoins de scurit doivent tre traits avant daccorder aux clients laccs linformation ou aux actifs de lorganisme. A.6.2.3 La scurit dans les accords conclus avec des tiers Mesure Les accords conclus avec des tiers qui portent sur laccs, le traitement, la communication ou la gestion de linformation, ou des moyens de traitement de linformation de lorganisme, ou qui portent sur lajout de produits ou de services aux moyens de traitement de linformation, doivent couvrir lensemble des exigences applicables en matire de scurit.

A.7 Gestion des actifs A.7.1 Responsabilits relatives aux actifs Objectif: Mettre en place et maintenir une protection approprie des actifs de lorganisme. A.7.1.1 Inventaire des actifs

Mesure

Tous les actifs doivent tre clairement identifis et un inventaire de tous les actifs importants doit tre ralis et gr.

A.7.1.2 Proprit des actifs Mesure La proprit de chaque information et des moyens de traitement de linformation doit tre attribue3) une partie dfinie de lorganisme. A.7.1.3 Utilisation correcte des actifs Mesure Des rgles permettant lutilisation correcte de linformation et des actifs associs aux moyens de traitement de linformation doivent tre identifies, documentes et mises en oeuvre. A.7.2 Classification des informations Objectif: Garantir un niveau de protection appropri aux informations.

A.7.2.1 Lignes directrices pour la classification

Mesure Les informations doivent tre classes en termes de valeur, dexigences lgales, de sensibilit et de criticit. A.7.2.2 Marquage et manipulation de l'information Mesure Un ensemble appropri de procdures pour le marquage et la manipulation de linformation doit tre labor et mis en uvre conformment au plan de classification adopt par lorganisme.

A.8 Scurit lie aux ressources humaines A.8.1 Avant le recrutement 4) Objectif: Garantir que les salaris, contractants et utilisateurs tiers connaissent leurs responsabilits et quils conviennent pour les fonctions qui leur sont attribues et rduire le risque de vol, de fraude ou de mauvais usage des quipements. A.8.1.1 Rles et responsabilits Mesure Les rles et responsabilits en matire de scurit des salaris, contractants et utilisateurs tiers doivent tre dfinis et documents conformment la politique de scurit de linformation de lorganisme.

A.8.1.2 Slection

Mesure Quil sagisse de postulants, de contractants ou dutilisateurs tiers, les vrifications des informations concernant tous les candidats doivent tre ralises conformment aux lois, aux rglements et ltique et doivent tre proportionnelles aux exigences mtier, la classification des informations accessibles et aux risques identifis.

A.8.1.3 Conditions dembauche Mesure

Dans le cadre de leurs obligations contractuelles, les salaris, contractants et utilisateurs tiers doivent se mettre daccord sur les modalits du contrat dembauche les liant et le signer. Ce contrat doit dfinir leurs responsabilits et celles de lorganisme quant la scurit de linformation. A.8.2 Pendant la dure du contrat Objectif: Veiller ce que tous les salaris, contractants et utilisateurs tiers soient conscients des menaces pesant sur la scurit de linformation, de leurs responsabilits financires ou autres, et disposent des lments requis pour prendre en charge la politique de scurit de lorganisme dans le cadre de leur activit normale et rduire le risque derreur humaine. A.8.2.1 Responsabilits de la direction Mesure La direction doit demander aux salaris, contractants et utilisateurs tiers dappliquer les rgles de scurit conformment aux politiques et procdures tablies de lorganisme. A.8.2.2 Sensibilisation, qualification et formations en matire de scurit de linformation Mesure

Lensemble des salaris dun organisme et, le cas chant, les contractants et utilisateurs tiers doivent suivre une formation adapte sur la sensibilisation et doivent recevoir rgulirement les mises jour des politiques et procdures de lorganisme, pertinentes pour leurs fonctions.

A.8.2.3 Processus disciplinaire Mesure Un processus disciplinaire formel doit tre labor pour les salaris ayant enfreint les rgles de scurit. A.8.3 Fin ou modification du contrat Objectif: Veiller ce que les salaris, contractants et utilisateurs tiers quittent un organisme ou changent de poste selon une procdure dfinie. A.8.3.1 Responsabilits en fin de contrat Mesure Les responsabilits relatives aux fins ou aux modifications de contrats doivent tre clairement dfinies et attribues. A.8.3.2 Restitution des actifs Mesure

Tous les salaris, contractants et utilisateurs tiers doivent restituer la totalit des actifs de lorganisme quils ont en leur possession la fin de leur priode demploi, contrat ou accord. A.8.3.3 Retrait des droits daccs Mesure Les droits daccs de lensemble des salaris, contractants et utilisateurs tiers linformation et aux moyens de traitement de linformation doivent tre supprims la fin de leur priode demploi, ou modifis en cas de modification du contrat ou de laccord. A.9 Scurit physique et environnementale A.9.1 Zones scurises Objectif: Empcher tout accs physique non autoris, tout dommage ou intrusion dans les locaux ou portant sur les informations de lorganisme. A.9.1.1 Primtre de scurit physique Mesure Les zones contenant des informations et des moyens de traitement de linformation doivent tre protges par des primtres de scurit (obstacles tels que des murs, des portes avec un contrle daccs par cartes, ou des bureaux de rception avec personnel daccueil). A.9.1.2 Contrles physiques des accs Mesure Les zones scurises doivent tre protges par des contrles lentre adquats pour sassurer que seul le personnel habilit est admis.

A.9.1.3 Scurisation des bureaux, des salles et des quipements Mesure Des mesures de scurit physique doivent tre conues et appliques pour les bureaux, les salles et les quipements.

A.9.1.4 Protection contre les menaces extrieures et environnementales Mesure Des mesures de protection physique contre les dommages causs par les incendies, les inondations, les tremblements de terre, les explosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistres provoqus par lhomme, doivent tre conues et appliques.

A.9.1.5 Travail dans les zones scurises Mesure Des mesures de protection physique et des directives pour le travail en zone scurise doivent tre conues et appliques.

A.9.1.6 Zones daccs public, de livraison et de chargement Mesure Les points daccs tels que les zones de livraison/chargement et les autres points par lesquels des personnes non habilites peuvent pntrer dans les locaux doivent tre contrls. Les points daccs doivent galement, si possible, tre isols des moyens de traitement de linformation, de faon viter les accs non autoriss. A.9.2 Scurit du matriel Objectif: Empcher la perte, lendommagement, le vol ou la compromission des actifs et linterruption des activits de lorganisme. A.9.2.1 Choix de lemplacement et protection du matriel Mesure

Le matriel doit tre situ et protg de manire rduire les risques de menaces et de dangers environnementaux et les possibilits daccs non autoris. A.9.2.2 Services gnraux Mesure Le matriel doit tre protg des coupures de courant et autres perturbations dues une dfaillance des services gnraux. A.9.2.3 Scurit du cblage Mesure Les cbles lectriques ou de tlcommunications transportant des donnes doivent tre protgs contre toute interception dinformation ou dommage. A.9.2.4 Maintenance du matriel Mesure Le matriel doit tre entretenu correctement pour garantir sa disponibilit permanente et son intgrit. A.9.2.5 Scurit du matriel hors des locaux Mesure La scurit doit tre applique au matriel utilis hors des locaux de lorganisme en tenant compte des diffrents risques associs au travail hors site. A.9.2.6 Mise au rebut ou recyclage scuris(e) du matriel Mesure Tout le matriel contenant des supports de stockage doit tre vrifi pour sassurer que toute donne sensible a bien t supprime et que tout logiciel sous licence a bien t dsinstall ou cras de faon scurise, avant sa mise au rebut.

A.9.2.7 Sortie d'un actif Mesure Un matriel, des informations ou des logiciels ne doivent pas tre sortis des locaux de lorganisme sans autorisation pralable. A.10 Gestion de lexploitation et des tlcommunications A.10.1 Procdures et responsabilits lies l'exploitation Objectif: Assurer lexploitation correcte et scurise des moyens de traitement de linformation. A.10.1.1 Procdures dexploitation documentes Mesure Les procdures dexploitation doivent tre documentes, tenues jour et disponibles pour tous les utilisateurs concerns.

A.10.1.2 Management des modifications Mesure Les changements apports aux systmes et moyens de traitement de linformation doivent tre contrls.

A.10.1.3 Sparation des tches Mesure Les tches et les domaines de responsabilit doivent tre spars pour rduire les occasions de modification ou de mauvais usage non autoris(e) ou involontaire des actifs de lorganisme. A.10.1.4 Sparation des quipements de dveloppement, d'essai et dexploitation Mesure Les quipements de dveloppement, d'essai et dexploitation doivent tre spars pour rduire les risques daccs ou de changements non autoriss dans le systme dinformation en exploitation.

A.10.2 Gestion de la prestation de service conclus avec un tiers

Objectif: Mettre en oeuvre et maintenir un niveau de scurit de linformation et de service adquat et conforme aux accords de prestation de service conclus avec un tiers. A.10.2.1 Prestation de service Mesure Il doit tre assur que les mesures de scurit, les dfinitions du service et les niveaux de prestation prvus dans laccord de prestation de service tiers sont mis en oeuvre, appliqus et tenus jour par le tiers. A.10.2.2 Surveillance et examen des services tiers Mesure

Les services, rapports et enregistrements fournis par les tiers doivent tre rgulirement contrls et rexamins, et des audits doivent tre rgulirement raliss. A.10.2.3 Gestion des modifications dans les services tiers Mesure Les changements effectus dans la prestation de service, comprenant le maintien et lamlioration des politiques, procdures et mesures existant en matire de scurit de linformation, doivent tre grs en tenant compte de la criticit des systmes et processus de gestion concerns et de la rvaluation du risque. A.10.3 Planification et acceptation du systme Objectif: Rduire le plus possible le risque de pannes du systme. A.10.3.1 Dimensionnement

Mesure Lutilisation des ressources doit tre surveille et ajuste au plus prs, et des projections doivent tre faites sur les dimensionnements futurs pour assurer les performances requises par le systme. A.10.3.2 Acceptation du systme Mesure Les critres dacceptation doivent tre fixs pour les nouveaux systmes dinformation, les nouvelles versions et les mises niveau, et les tests adapts du (des) systme(s) doivent tre raliss au moment du dveloppement et pralablement leur acceptation.

A.10.4 Protection contre les codes malveillant et mobile Objectif: Protger lintgrit des logiciels et de linformation. A.10.4.1 Mesures contre les codes malveillants

Mesure Des mesures de dtection, de prvention et de recouvrement pour se protger des codes malveillants ainsi que des procdures appropries de sensibilisation des utilisateurs doivent tre mises en oeuvre.

A.10.4.2 Mesures contre le code mobile Mesure

Lorsque lutilisation de code mobile est autorise, la configuration doit garantir que le code mobile fonctionne selon une politique de scurit clairement dfinie et tout code mobile non autoris doit tre bloqu. A.10.5 Sauvegarde Objectif: Maintenir lintgrit et la disponibilit des informations et des moyens de traitement de linformation. A.10.5.1 Sauvegarde des informations Mesure Des copies de sauvegarde des informations et logiciels doivent tre ralises et soumises rgulirement essai conformment la politique de sauvegarde convenue.

A.10.6 Gestion de la scurit des rseaux Objectif: Assurer la protection des informations sur les rseaux et la protection de linfrastructure sur laquelle elles sappuient. A.10.6.1 Mesures sur les rseaux Mesure Les rseaux doivent tre grs et contrls de manire adquate pour quils soient protgs des menaces et pour maintenir la scurit des systmes et des applications utilisant le rseau, notamment les informations en transit.

A.10.6.2 Scurit des services rseau Mesure Pour tous les services rseau, les fonctions rseau, les niveaux de service et les exigences de gestion doivent tre identifis et intgrs dans tout accord sur les services rseau, quils soient fournis en interne ou en externe. A.10.7 Manipulation des supports

Objectif: Empcher la divulgation, la modification, le retrait ou la destruction non autoris(e) d'actifs et linterruption des activits de lorganisme. A.10.7.1 Gestion des supports amovibles Mesure Des procdures doivent tre mises en place pour la gestion des supports amovibles. A.10.7.2 Mise au rebut des supports Mesure Les supports qui ne servent plus doivent tre mis au rebut de faon sre, en suivant des procdures formelles. A.10.7.3 Procdures de manipulation des informations Mesure Des procdures de manipulation et de stockage des informations doivent tre tablies pour protger ces informations dune divulgation non autorise ou dun mauvais usage. A.10.7.4 Scurit de la documentation systme Mesure La documentation systme doit tre protge contre les accs non autoriss.

A.10.8 Echange des informations Objectif: Maintenir la scurit des informations et des logiciels changs au sein de lorganisme et avec une entit extrieure. A.10.8.1 Politiques et procdures dchange des informations Mesure

Des politiques, procdures et mesures dchange formelles doivent tre mises en place pour protger les changes dinformations lies tous types dquipements de tlcommunication.

A.10.8.2 Accords dchange Mesure Des accords doivent tre conclus pour lchange dinformations et de logiciels entre lorganisme et la partie externe. A.10.8.3 Supports physiques en transit Mesure Les supports contenant des informations doivent tre protgs contre les accs non autoriss, le mauvais usage ou laltration lors du transport hors des limites physiques de lorganisme. A.10.8.4 Messagerie lectronique Mesure Les informations lies la messagerie lectronique doivent tre protges de manire adquate. A.10.8.5 Systmes dinformation dentreprise Mesure Des politiques et procdures doivent tre labores et mises en oeuvre pour protger linformation lie linterconnexion de systmes dinformations dentreprise.

A.10.9 Services de commerce lectronique Objectif: Assurer la scurit des services de commerce lectronique, ainsi que leur utilisation scurise. A.10.9.1 Commerce lectronique Mesure Les informations lies au commerce lectronique transmises sur les rseaux publics doivent tre protges contre les activits frauduleuses, les litiges sur les contrats et la divulgation et la modification non autorises.

A.10.9.2 Transactions en ligne Mesure Les informations lies aux transactions en ligne doivent tre protges pour empcher la transmission incomplte, les erreurs dacheminement, la modification non autorise, la divulgation non autorise, la duplication non autorise du message ou la rmission.

A.10.9.3 Informations disposition du public Mesure Lintgrit des informations mises disposition sur un systme accessible au public doit tre protge pour empcher toute modification non autorise. A.10.10 Surveillance Objectif: Dtecter les traitements non autoriss de linformation. A.10.10.1 Journaux daudit Mesure Les journaux daudit, qui enregistrent les activits des utilisateurs, les exceptions et les vnements lis la scurit doivent tre produits et conservs pendant une priode pralablement dfinie afin de faciliter les investigations ultrieures et la surveillance du contrle daccs.

A.10.10.2 Surveillance de lexploitation du systme

Mesure Des procdures permettant de surveiller lutilisation des moyens de traitement de linformation doivent tre tablies et les rsultats des activits de surveillance doivent tre rexamins priodiquement.

A.10.10.3 Protection des informations journalises Mesure Les quipements de journalisation et les informations journalises doivent tre protgs contre le sabotage et les accs non autoriss.

A.10.10.4 Journal administrateur et journal des oprations

Mesure Les activits de ladministrateur systme et de loprateur systme doivent tre journalises.

A.10.10.5 Rapports danomalies Mesure Les ventuels dfauts doivent tre journaliss et analyss et les mesures appropries doivent tre prises. A.10.10.6 Synchronisation des horloges Mesure Les horloges des diffrents systmes de traitement de linformation dun organisme ou dun domaine de scurit doivent tre synchronises laide dune source de temps prcise et pralablement dfinie.

A.11 Contrle d'accs A.11.1 Exigences mtier relatives au contrle d'accs Objectif: Matriser laccs linformation. A.11.1.1 Politique de contrle daccs Mesure Une politique de contrle daccs doit tre tablie, documente et rexamine sur la base des exigences mtier et de scurit.

A.11.2 Gestion des accs des utilisateurs Objectif: Contrler laccs des utilisateurs autoriss et empcher les accs non autoriss aux systmes dinformation. A.11.2.1 Enregistrement des utilisateurs Mesure Une procdure formelle dinscription et dsincription des utilisateurs destine accorder et supprimer laccs tous les systmes et services dinformation doit tre dfinie.

A.11.2.2 Gestion des privilges Mesure Lattribution et lutilisation des privilges doivent tre restreintes et contrles. A.11.2.3 Gestion du mot de passe utilisateur Mesure Lattribution de mots de passe doit tre ralise dans le cadre dun processus formel.

A.11.2.4 Rexamen des droits daccs utilisateurs Mesure La direction doit rexaminer les droits daccs utilisateurs intervalles rguliers par le biais dun processus formel.

A.11.3 Responsabilits de l'utilisateurs

Objectif: Empcher laccs dutilisateurs non habilits et la compromission ou le vol dinformations et de moyens de traitement de linformation. A.11.3.1 Utilisation du mot de passe Mesure Il doit tre demand aux utilisateurs de respecter les bonnes pratiques de scurit lors de la slection et de lutilisation de mots de passe A.11.3.2 Matriel utilisateur laiss sans surveillance Mesure Les utilisateurs doivent sassurer que tout matriel laiss sans surveillance est dot dune protection approprie. A.11.3.3 Politique du bureau propre et de lcran vide Mesure Une politique du bureau propre doit tre adopte pour les documents papier et les supports de stockage amovibles, et une politique de lcran vide doit galement tre adopte pour les moyens de traitement de linformation. A.11.4 Contrle d'accs rseau Objectif: Empcher les accs non autoriss aux services disponibles sur le rseau. A.11.4.1 Politique relative lutilisation des services en rseau Mesure Les utilisateurs doivent avoir uniquement accs aux services pour lesquels ils ont spcifiquement reu une autorisation.

A.11.4.2 Authentification de lutilisateur pour les connexions externes Mesure

Des mthodes dauthentification appropries doivent tre utilises pour contrler laccs des utilisateurs distants.

A.11.4.3 Identification des matriels en rseaux Mesure Lidentification automatique de matriels doit tre considre comme un moyen dauthentification des connexions partir de lieux et matriels spcifiques. A.11.4.4 Protection des ports de diagnostic et de configuration distance Mesure Laccs physique et logique aux ports de diagnostic et de configuration distance doit tre contrl.

A.11.4.5 Cloisonnement des rseaux Mesure Les groupes de services dinformation, dutilisateurs et de systmes dinformation doivent tre spars sur le rseau.

A.11.4.6 Mesure relative la connexion rseau Mesure Pour les rseaux partags, en particulier les rseaux qui stendent au-del des limites de lorganisme, la capacit de connexion rseau des utilisateurs doit tre restreinte, conformment la politique de contrle daccs et aux exigences relatives aux applications mtier (voir 11.1) A.11.4.7 Contrle du routage rseau Mesure Des mesures du routage des rseaux doivent tre mises en uvre afin dviter que les connexions rseau et les flux dinformations ne portent atteinte la politique de contrle daccs des applications mtier.

A.11.5 Contrle d'accs au systme d'exploitation Objectif: Empcher les accs non autoriss aux systmes dexploitation.

A.11.5.1 Ouverture de sessions scurises Mesure Laccs aux systmes dexploitation doit tre soumis une procdure scurise douverture de session.

A.11.5.2 Identification et authentification de lutilisateur Mesure Un identifiant unique et exclusif doit tre attribu chaque utilisateur et une technique dauthentification doit tre choisie, permettant de vrifier lidentit dclare par lutilisateur.

A.11.5.3 Systme de gestion des mots de passe Mesure Les systmes qui grent les mots de passe doivent tre interactifs et doivent fournir des mots de passe de qualit.

A.11.5.4 Emploi des utilitaires systme Mesure Lemploi des programmes utilitaires permettant de contourner les mesures dun systme ou dune application doit tre limit et contrl troitement. A.11.5.5 Dconnexion automatique des sessions inactives Mesure Les sessions inactives doivent tre dconnectes aprs une priode dinactivit dfinie. A.11.5.6 Limitation du temps de connexion Mesure Les temps de connexion doivent tre restreints afin dapporter un niveau de scurit supplmentaire aux applications haut risque. A.11.6 Contrle d'accs aux applications et l'information Objectif: Empcher les accs non autoriss aux informations stockes dans les applications. A.11.6.1 Restriction daccs linformation Mesure Pour les utilisateurs et le personnel charg de lassistance technique, laccs aux informations et aux fonctions applicatives doit tre restreint conformment la politique de contrle daccs.

A.11.6.2 Isolement des systmes sensibles Mesure Les systmes sensibles doivent disposer d'un environnement informatique ddi (isol).

A.11.7 Informatique mobile et tltravail Objectif: Garantir la scurit de linformation lors de lutilisation dappareils informatiques mobiles et dquipements de tltravail. A.11.7.1 Informatique et communications mobiles Mesure Une procdure formelle et des mesures de scurit appropries doivent tre mises en place pour assurer une protection contre le risque li lutilisation dappareils informatiques et de communication mobiles.

A.11.7.2 Tltravail Mesure Une politique, des procdures et des programmes oprationnels spcifiques au tltravail doivent tre labors et mis en oeuvre. A.12 Acquisition, dveloppement et maintenance des systmes dinformation A.12.1 Exigences de scurit applicables aux systmes d'information Objectif: Veiller ce que la scurit fasse partie intgrante des systmes dinformation. A.12.1.1 Analyse et spcification des exigences de scurit Mesure Les exigences mtier relatives aux nouveaux systmes dinformation ou les amliorations apportes aux systmes dinformation existants doivent spcifier les exigences de scurit.

A.12.2 Bon fonctionnement des applications Objectif: Empcher toute erreur, perte, modification non autorise ou tout mauvais usage des informations dans les applications. A.12.2.1 Validation des donnes en entre Mesure Les donnes entres dans les applications doivent tre valides afin de vrifier si elles sont correctes et appropries.

A.12.2.2 Mesure relative au traitement interne Mesure

Des contrles de validation doivent tre inclus dans les applications afin de dtecter les ventuelles altrations de linformation dues des erreurs de traitement ou des actes dlibrs. A.12.2.3 Intgrit des messages Mesure Les exigences permettant dassurer lauthentification et la protection de lintgrit des messages dans les applications doivent tre identifies, et des mesures appropries doivent tre identifies et mises en oeuvre. A.12.2.4 Validation des donnes en sortie Mesure Les donnes de sortie dune application doivent tre valides pour assurer que le traitement des informations stockes est correct et adapt aux circonstances. A.12.3 Mesures cryptographiques Objectif: Protger la confidentialit, lauthenticit ou lintgrit de linformation par des moyens cryptographiques. A.12.3.1 Politique dutilisation des mesures cryptographiques Mesure Une politique dutilisation des mesures cryptographiques en vue de protger linformation doit tre labore et mise en oeuvre.

A.12.3.2 Gestion des cls Mesure Une procdure de gestion des cls doit favoriser lutilisation par lorganisme de techniques cryptographiques.

A.12.4 Scurit des fichiers systme Objectif: Garantir la scurit des fichiers systme. A.12.4.1 Mesure relative aux logiciels en exploitation Mesure Des procdures doivent tre mises en place pour contrler linstallation du logiciel sur les systmes en exploitation.

A.12.4.2 Protection des donnes systme dessai Mesure Les donnes dessai doivent tre slectionnes avec soin, protges et contrles.

A.12.4.3 Contrle daccs au code source du programme Mesure Laccs au code source du programme doit tre restreint. A.12.5 Scurit en matire de dveloppement et dassistance technique Objectif: Garantir la scurit du logiciel et des informations dapplication. A.12.5.1 Procdures de contrle des modifications Mesure

La mise en oeuvre des modifications doit tre contrle par le biais de procdures formelles.

A.12.5.2 Rexamen technique des applications aprs modification du systme dexploitation Mesure Lorsque des modifications sont apportes aux systmes dexploitation, les applications critiques mtier doivent tre rexamines et testes afin de vrifier labsence de tout effet indsirable sur lactivit ou sur la scurit. A.12.5.3 Restrictions relatives la modification des progiciels Mesure La modification des progiciels ne doit pas tre encourage, et doit tre limite aux changements ncessaires. Un contrle strict doit galement tre exerc sur ces modifications. A.12.5.4 Fuite dinformations Mesure Toute possibilit de fuite dinformations doit tre empche. A.12.5.5 Externalisation du dveloppement logiciel Mesure Le dveloppement logiciel externalis doit tre encadr et contrl par l'organisme. A.12.6 Gestion des vulnrabilits techniques Objectif: Rduire les risques lis lexploitation des vulnrabilits techniques ayant fait lobjet dune publication. A.12.6.1 Mesure relative aux vulnrabilits techniques Mesure

Toute information concernant toute vulnrabilit technique des systmes dinformation en exploitation doit tre obtenue temps, lexposition de lorganisme aux dites vulnrabilits doit tre value et les actions appropries doivent tre entreprises pour traiter le risque associ.

A.13 Gestion des incidents lis la scurit de linformation A.13.1 Remonte des vnements et des failles lis la scurit de linformation Objectif: Garantir que le mode de notification des vnements et failles lis la scurit de linformation permet la mise en oeuvre dune action corrective, dans les meilleurs dlais. A.13.1.1 Remonte des vnements lis la scurit de linformation Mesure Les vnements lis la scurit de linformation doivent tre signals, dans les meilleurs dlais, par les voies hirarchiques appropries.

A.13.1.2 Remonte des failles de scurit Mesure Il doit tre demand tous les salaris, contractants et utilisateurs tiers des systmes et services dinformation de noter et de signaler toute faille de scurit observe ou souponne dans les systmes ou services. A.13.2 Gestion des incidents lis la scurit de linformation et des amliorations Objectif: Garantir la mise en place dune approche cohrente et efficace pour la gestion des incidents lis la scurit de linformation. A.13.2.1 Responsabilits et procdures Mesure Des responsabilits et des procdures doivent tre tablies, permettant de garantir une rponse rapide, efficace et pertinente en cas dincident li la scurit de linformation.

A.13.2.2 Exploitation des incidents lis la scurit de linformation dj survenus Mesure Des mcanismes doivent tre mis en place, permettant de quantifier et surveiller les diffrents types dincidents lis la scurit de linformation ainsi que leur volume et les cots associs. A.13.2.3 Collecte de preuves Mesure Lorsquune action en justice civile ou pnale est engage contre une personne physique ou un organisme, la suite dun incident li la scurit de linformation, les lments de preuve doivent tre recueillis, conservs et prsents conformment aux dispositions lgales relatives la prsentation de preuves rgissant la ou les juridiction(s) comptente(s). A.14 Gestion de la continuit de lactivit A.14.1 Gestion de la continuit de lactivit dun point de vue aspects de la scurit de linformation Objectif: Empcher les interruptions des activits de lorganisme, protger les processus mtier cruciaux des effets causs par les dfaillances majeures des systmes dinformation ou par des sinistres et garantir une reprise de ces processus dans les meilleurs dlais. A.14.1.1 Intgration de la scurit de linformation dans le processus de gestion du plan de continuit de lactivit Mesure Un processus de continuit de lactivit dans lensemble de lorganisme doit tre labor et gr, qui satisfait aux exigences en matire de scurit de linformation requises pour la continuit de lactivit de lorganisme. A.14.1.2 Continuit de lactivit et apprciation du risque Mesure Les vnements pouvant tre lorigine dinterruptions des processus mtier doivent tre identifis, tout comme la probabilit et limpact de telles interruptions et leurs consquences pour la scurit de linformation. A.14.1.3 laboration et mise en oeuvre des plans de continuit intgrant la scurit de linformation Mesure Des plans doivent tre labors et mis en oeuvre pour maintenir ou restaurer lexploitation et assurer la disponibilit des informations au niveau et dans les dlais requis suite une interruption ou une panne affectant les processus mtier cruciaux.

A.14.1.4 Cadre de la planification de la continuit de lactivit Mesure Un cadre unique pour les plans de continuit de lactivit doit tre gr afin de garantir la cohrence de lensemble des plans, de satisfaire de manire constante aux exigences en matire de scurit de linformation et didentifier les priorits en matire de mise lessai et de maintenance. A.14.1.5 Mise lessai, gestion et rvaluation constante des plans de continuit de lactivit Mesure Les plans de continuit de lactivit doivent tre tests et mis jour rgulirement afin de sassurer quils sont actualiss et efficaces. A.15 Conformit A.15.1 Conformit aux exigences lgales Objectif: Eviter toute violation des obligations lgales, statutaires, rglementaires ou contractuelles et des exigences de scurit. A.15.1.1 Identification de la lgislation en vigueur Mesure

Pour chaque systme dinformation et pour lorganisme, toutes les exigences lgales, rglementaires et contractuelles en vigueur doivent tre dfinies, documentes et mises jour, ainsi que la procdure utilise par lorganisme pour satisfaire ces exigences. A.15.1.2 Droits de proprit intellectuelle (DPI) Mesure Des procdures appropries doivent tre mises en oeuvre, visant garantir la conformit avec les exigences lgales, rglementaires et contractuelles concernant lutilisation du matriel pouvant tre soumis des droits de proprit intellectuelle et lutilisation des logiciels propritaires. A.15.1.3 Protection des enregistrements de lorganisme Mesure Les enregistrements importants doivent tre protgs contre la perte, destruction et falsification conformment aux exigences lgales, rglementaires et aux exigences mtier.

A.15.1.4 Protection des donnes et confidentialit des informations relatives la vie prive Mesure La protection et la confidentialit des donnes doivent tre garanties, telles que lexigent la lgislation ou les rglementations applicables, et les clauses contractuelles le cas chant. A.15.1.5 Mesure prventive lgard du mauvais usage des moyens de traitement de linformation Mesure Les utilisateurs doivent tre dissuads de toute utilisation de moyens de traitement de linformation des fins illgales.

A.15.1.6 Rglementation relative aux mesures cryptographiques Mesure Des mesures cryptographiques doivent tre prises conformment aux accords, lois et rglementations applicables. A.15.2 Conformit avec les politiques et normes de scurit et conformit technique Objectif: Sassurer de la conformit des systmes avec les politiques et normes de scurit de lorganisme. A.15.2.1 Conformit avec les politiques et les normes de scurit

Mesure

Les responsables doivent sassurer de lexcution correcte de lensemble des procdures de scurit places sous leur responsabilit en vue de garantir leur conformit avec les politiques et normes de scurit. A.15.2.2 Vrification de la conformit technique

Mesure La conformit des systmes dinformation avec les normes relatives la mise en oeuvre de la scurit doit tre vrifie rgulirement.

A.15.3 Prises en compte de l'audit du systme d'information Objectif: Optimiser lefficacit et rduire le plus possible linterfrence avec le/du processus daudit du systme dinformation. A.15.3.1 Contrles de laudit du systme dinformation

Mesure Les exigences daudit et les activits impliquant des contrles des systmes en exploitation doivent tre planifies de manire prcise et doivent tre le rsultat dun accord afin de rduire le plus possible le risque de perturbations des processus mtier. A.15.3.2 Protection des outils daudit du systme dinformation Mesure Laccs aux outils daudit du systme dinformation doit tre protg afin dempcher tous mauvais usage ou compromission ventuels.

Elment vrifier Manuel des procdures PSI Plan de secours informatique Manuel SMSI

La politique de scurit de l'information :

est approuve par la direction est publie est communique au personnel est communique aux fournisseurs est communique aux sous-traitants est communique aux parties prenantes pertinentes comprend un processus formalis d'valuation annuelle des risques qui identifie les menaces, les vulnrabilits et les rsultats, directement ou par des rfrences appropries dfinit clairement les responsabilits de scurit des informations des employs, directement ou par des rfrences appropries dfinit clairement les responsabilits de scurit des informations des sous-traitants, directement ou par des rfrences appropries . est value au moins annuellement et mise jour au besoin pour reflter les changements dans les objectifs mtier et l'environnement des risques Les documents de sensibilisation la scurit prvoient une obligation pour les employs de reconnatre par crit qu'ils ont lu et compris la politique de scurit de l'information.

Obliger les employs reconnatre par crit qu'ils ont lu et compris la politique de scurit de l'entreprise et les procdures. Obtenir la documentation du programme sensibilisation la scurit et vrifiez qu'il contient les composants suivants
contrat de sous-traitance est conforme avec l'exigence

sous rserve diffusion et communication aux salaris et tiers

Existence d'un manuel PSI

Les normes de configuration des pare-feu sont formalises.

Un processus d'approbation et de test de toutes les connexions rseau externes et des changements la configuration du firewall est formalis.

la politique de scurit dfinit clairement les responsabilits de scurit des informations des employs et des sous-contractants.

Vrifier la mission de l'entreprise/mandat Etat

Relations uniquement avec des cabinets d'audit?

Contrat et procdure prend en charge tous les lments ncessaires une revue

Existence pocdure d'valuation des risques

La politique de scurit de l'information formalise ou fait rfrence un processus d'valuation annuelle des risques qui identifie les menaces, les vulnrabilits et les rsultats dans une valuation formelle des risques.

Existence pocdure d'valuation des risques

Existence pocdure d'valuation des risques

Les attributions relatives au suivi et l'analyse des alertes de scurit, la diffusion d'informations aux sont formalises et clairement assignes

Les contrats de sous-traitance incluent les exigences de scurit des donnes PCI standard pertinentes, la reconnaissance de la responsabilit, la continuit d'activit.

Contract provisions allow for audits by Visa or Visa-approved entities in the event of a cardholder data compromise. Contract provisions require continued security of cardholder data during and after contract terminations.

Des inventaires des actifs importants la scurit sont priodiquement raliss. Les actifs importants la scurit sont correctement stocks Une liste du personnel autoris utiliser les moyens de traitement de l'information est disponible

Existence de cet inventaire


Les appareils sont tiquets et leurs propritaires sont identifis.

?Procdures d'exploitation

Les rgles permettant lutilisation correcte de linformation et des actifs associs sont identifies, documentes et mises en oeuvre.

La politique de scurit de l'information est revue annuellement afin d'examiner son adquation et les besoins de modifications en cohrence aves les volutions de son contexte (objectifs mtiers changs ou nouveaux, cartographie des risques).

La mention "confidentiel" est indique sur les actifs le ncessitant

Les processus/procdures en place comportent des dispositions pour la gestion de la scurit des supports papier et informatiques

La mention "confidentiel" est indique sur les actifs le ncessitant L'envoi des actifs l'extrieur de l'entreprise est enregistr et autoris par la direction; les actifs envoys en externe sont enregistrs; l'envoi est effectu au moyen d'un mcanisme scuris et traable. La politique de gestion du stockage et de la maintenance des supports papier ou lectroniques prvoit la ralisation d'inventaires priodiques. L'inventaire est ralis de faon priodique La scurit de l'entreposage des mdias est garantie

La responsabilit en matire de scurit de l'information est formellement assigne un responsable scurit ou un membre comptent de la direction. Les responsabilits pour crer et diffuser les politiques et procdures de scurit sont formalises et assignes. Les responsabilits sont formellement attribues pour le suivi et l'analyse des alertes de scurit, et la diffusion d'informations au niveau appropri du personnel responsable de la scurit de l'information et des entits oprationnelles Les procdures documentes existent pour la cration et la diffusion de la rponse aux incidents de scurit et l'escalade des incidents. Les responsabilits pour l'administration et la gestion de compte utilisateur et l'authentification sont formalises et assignes. Les responsabilits pour la surveillance et le contrle des accs aux donnes sont formalises et assignes.

Le RH a mis en place un processus de vrification des antcdents des employs potentiels qui auront accs des systmes, rseaux, ou des donnes . Ces vrifications incluent la situation de premploi, les antcdents criminels de crdit, et la vrification des rfrences.

Intgration dans les lments d'audit et de revue


Les membres du personnel ont lu et compris la politique de scurit de l'information de l'entreprise.

Traabilit des actions: liste de prsence, attestations, quid des contractants?


Protgez-vous ; adoptez les bons reflexes: est-ce au personnel de faire les op suggres ds le msg ou bien le Resp SI?
Le programme de sensibilisation la scurit de l'information est document

Le programme de sensibilisation prvoit diffrents outils : dpliants, affiches, lettres, runions, etc. Vrifiez par observation et l'examen des politiques, que le personnel de scurit des responsabilits en cas de violation sont rgulirement forms. Les procdures mises en place prvoient la formation priodique du personnel ayant t concern par des incidents de scurit Le personnel ayant t concern par des dfaillances de scurit est priodiquement form

Procdure disciplinaire, commission formelle

Procdure gestion du sous-traitant? = contrat? Procdure de mutation ou fin de contrat

Procdure gestion du sous-traitant? = contrat? Procdure de mutation ou fin de contrat

Les dispositions contractuelles comprennent l'exigence relative la prservation de la scurit des informations au-del de la limite temporelle du contrat

Procdure gestion du sous-traitant? = contrat? Procdure de mutation ou fin de contrat

Les personnes autorises accder aux locaux abritant des donnes sensibles disposent de badges Les accs aux locaux informatiques sont contrls par des lecteurs de badges, des fermetures, ou autre systme de protection physique Les tests de connexion un chantillon de systmes choisis au hasard, effectu par un administrateur la demande de l'auditeur, permet de conclure que le systme de contrle d'accs est fonctionnel Des camras de surveillance des entres/sorties aux locaux sensibles sont mises en place. Les camras de surveillance des entres/sorties aux locaux sensibles sont places l'intrieur des locaux . Les camras de surveillance des entres/sorties aux locaux sensibles qui ne sont pas places l'intrieur des locaux sont protges contre les manipulations malintentionnes. Les camras de surveillance des entres/sorties aux locaux sensibles sont priodiquement vrifies. Les enregistrements des camras de surveillance des entres/sorties aux locaux sensibles sont stockes pendant une dure compatible avec les besoins lgaux ou de traabilit (min 3 mois?)

Les prises de rseau non affectes des utilisateurs ne sont pas actives

Les prises de rseau existant dans des salles communes (ex: zsalle de runion) ne sont pas actives SI les prises de rseau existant dans des salles communes (ex: zsalle de runion) sont actives, les ventuels visiteurs sont constamment accompagns. L'accs physique aux zones WIFI, des passerelles et appareils de poche est limite de faon approprie. Les badges remis aux visiteurs sont repris la fin d'utilisation ou la date d'expiration. Un registre de visiteurs est mis en place pour contrler l'accs physiqueaux locaux sensibles Les renseignements consigns sur le registre concernent le nom du visiteur, l'entreprise do il vient, lemotif de sa visite, le nom du membre du personnel lui ayant autoris l'accs Le registre est conserv durant une dure minimale en cohrence avec les exigences de traabilit et ou lgales.

Les prises de rseau non affectes des utilisateurs ne sont pas actives Les prises de rseau existant dans des salles communes (ex: zsalle de runion) ne sont pas actives SI les prises de rseau existant dans des salles communes (ex: zsalle de runion) sont actives, les ventuels visiteurs sont constamment accompagns. L'accs physique aux zones WIFI, des passerelles et appareils de poche est limite de faon approprie. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs sont formaliss Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les besoins en nouveaux badges. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les volutions des exigences en matire d'accs. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les licenciments des membres du personnel. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les badges prims. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les limitations d'accs au systme de badgeage Les employs sont facilement diffrenciables des visiteurs Les badges des employs sont diffrenciables des badges visiteurs/stagiaires/sous traitants. Les visiteurs sont munis de badges d'identification.

Les badges visiteurs ont une dure de validit. Il n'est pas possible d'accder aux locaux scuriss au moyen d'un badge visiteur.

q a donn rsk analys?


Les procdures de sauvegarde hors site prvoient des dispositions de scurit d'accs et de protection incendie et intempries.

Les locaux de stockage hors site sont scuriss pour les accs, incendie et intempries.

Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs sont formaliss Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les besoins en nouveaux badges. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les volutions des exigences en matire d'accs. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les licenciments des membres du personnel. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les badges prims. Les processus d'attribution des badges pour les employs, les fournisseurs et les visiteurs prennent en compte les limitations d'accs au systme de badgeage Il n'est pas possible d'accder aux locaux scuriss au moyen d'un badge visiteur. Les employs sont facilement diffrenciables des visiteurs Les badges des employs sont diffrenciables des badges visiteurs/stagiaires/sous traitants. Les visiteurs sont munis de badges d'identification. Les badges visiteurs ont une dure de validit. Il n'est pas possible d'accder aux locaux scuriss au moyen d'un badge visiteur.

plateforme de scurit du ple Prvoyance CDG

ql contrat type?

Procdure de mise au rebut


Des dispositions sont mises en place pour la destruction des donnes qui ne sont plus ncessaires (ncessit de traabilit oprationnelle ou lgale)

Les supports papier des donnes qui ne sont plus ncessaires conserver sont dtruits avec des moyens adquats (brls, dchiquets, ) Les conteneurs de stockage des documents dtruire sont identifis en consquence. Les conteneurs de stockage des documents dtruire sont scuriss contre les accs non autoriss. Les supports lectroniques sont dtruits de faon empcher toute possibilit de rcupration des donnes (dmagntisation, destruction physique, ...)

Les supports de donnes ne sont dplacs de leur zone de scurit que sur accord des personnes autorises (en particulier s'ils sont distribus aux particuliers).

procdures d'exploitation? ql forme de diffusion?


Les normes de configuration des pare-feu sont formalises.

Les normes de configuration des pare-feu sont compltes. Les normes de configuration de pare-feu comprennent la fois les pare-feu et les routeurs. Les modifications de configuration des pare feux et des connexion rseau externes sont soumises valides par des personnes autorises Les procdures de scurit oprationnelle sont tenues jour et sont mises disposition des oprateurs concerns (proc. Maintenance comptes utilisateurs, revue des connexions, ).

Existe-t-il procdure gestion modif?


Les changements et correctifs apports au systme et/ou au software sont tests avant d'tre dploy en production.

Des dispositions de contrle des modifications sont formalises Les dispositions de contrle des modifications incluent l'impact client
Des procdures de back out sont prpares pour chaque changement.

Le personnel affect au dveloppement et aux tests est diffrent du personnel charg de la production.

Dispositions pour les stagiaires

Un contrle d'accs est mis en place pour scuriser la sparation entre les environnements de test / dveloppement et ceux de la production. Le personnel affect au dveloppement et aux tests est diffrent du personnel charg de la production. Des dispositions crites sont mises en place pour la vrification de la non vulnrabilit des codes affects aux clients ou au personnel de la production La vrification de la non vulnrabilit des codes affects aux clients ou au personnel de la production est ralise par des personnes diffrents de celles les ayant mis. La vrification de la non vulnrabilit des codes affects aux clients ou au personnel de la production est ralise l'occasion des changements des codes aussi bien que pour les nouveaux.

Procdure de suivi /valuation du sous-traitant

Procdure de suivi /valuation du sous-traitant

Comment est pris en charge le risque sous-traitant? Procdure de suivi /valuation du sous-traitant?

quiplanifie/ examine les besoins?les spec?

Procdure de rception/test
Les normes de configuration des pare-feu sont compltes.

Tous les changements (y compris les correctifs) sont tests avant d'tre dploys en production.

q a donn rsk analys?

Le logiciel anti-virus est install.

Les serveurs font l'objet de mises jour automatiques et d'analyses priodiques. Les procdures en place comprennet l'exigence de mise jour de logiciels anti-virus et des dfinitions. L'installation principale du logiciel est active pour les mises jour automatiques et les analyses priodiques. La gnration des journaux est active pour la traabilit des contrles Les journaux sont conservs conformment la politique de conservation de l'entreprise.

Sauvegardes hors site


Les procdures de sauvegarde hors site prvoient des dispositions de scurit d'accs et de protection incendie et intempries.

Les locaux de stockage hors site sont scuriss pour les accs, incendie et intempries.

Les journaux d'audit sont rapidement sauvegards sur un serveur de journalisation centralis ou sur des supports difficiles modifier.

ql contrat type?
Le schma du rseau documente toutes les connexions , y compris les rseaux sans fil, et est est tenu jour.

Un pare-feu existe chaque connexion Internet et entre toute zone DMZ et l'Intranet. Les normes de configuration de pare-feu comprennent la justification et la documentation de tous les protocoles disponibles besides HTTP and SSL, SSH, and VPN. Le trafic entrant et sortant est limit aux protocoles Web (http, https) [dans le cas de la liaison internet -DMZ et intranet-DMZ (l'chantillon d'observation inclut le routeur d'tranglement l'Internet, le routeur DMZ et pare-feu, le segment porteur DMZ, le routeur priphrique, et le segment porteur intrieur du rseau)] . Le trafic entrant et sortant est limit l'administration du systme / mthodes d'accs distance (VPN, SSH) [ dans le cas de la liaison internet -DMZ et intranet-DMZ (l'chantillon d'observation inclut le routeur d'tranglement l'Internet, le routeur DMZ et pare-feu, le segment porteur DMZ, le routeur priphrique, et le segment porteur intrieur du rseau)] . Le trafic entrant et sortant est limit tout autre trafic autoris par l'entreprise et documente dans la politique de pare-feu. [ dans le cas de la liaison internet -DMZ et intranet-DMZ (l'chantillon d'observation inclut le routeur d'tranglement l'Internet, le routeur DMZ et pare-feu, le segment porteur DMZ, le routeur priphrique, et le segment porteur intrieur du rseau)] . Des pare feux entre le rseau WIFI et l'environnement des donnes sont installset configurs pour le dni de service demnd travers le wifi

La configuration du pare feu/routeur n'autorise pas l'accs direct (flux entrant ou sortant) entre la DMZ et l'internet. La configuration du pare feu/routeur n'autorise que le trafic sortant vers les IP de la DMZ. Pour les composants de pare-feu / routeur, ci-dessus, vrifiez que le NAT ou une autre technologie utilisant l'espace d'adresse RFC 1918 est utilis pour limiter la diffusion des adresses IP du rseau interne Internet (IP masquerading).

Les normes de configuration de pare-feu comprennent la justification et la documentation de tous les protocoles risqus autoriss (par exemple, FTP), qui comprend la raison de l'utilisation du protocole, et des fonctions de scurit mises en uvre. Les paramtres pour chaque service utilis, la justification de sa ncessit et les moyens de scurisation associes sont documents.

Procdures de gestion des supports amovibles.

Procdure de mise au rebut des supports

Procdures de manipulation et de stockage des informations

Les fichiers de configuration du routeur sont scuriss et synchroniss (par exemple, les fichiers de configuration en cours d'excution, utilis pour le fonctionnement normal des routeurs, et le dmarrage des fichiers de configuration-utiliss lorsque les machines sont redmarres, ont les mmes configurations scurises).

Procdure de protection des changes d'information? vrifier que les CC comprennent des dispositions relatives l'accs en plus de l'engagement?

Procdure de protection des interconnexions


Des procdures sont mises en place pour l'accs aux technologies utilises tq modems et wifi pour garantir l'utilisation approprie de ces technologies par le personnel et les sous-traitants. Tout besoin d'utilisation d'quipement est autoris par le management Toute utilisation d'quipement est authentifie avec identifiant et mot de passe ou un lment d'authentification (par exemple, un jeton). La liste des quipements et le personnel autoris les utiliser est documente. Les appareils sont tiquets et leurs propritaires et utilisations sont identifis. Les rgles permettant lutilisation correcte de linformation et des actifs associs sont identifies, documentes et mises en oeuvre.

RAS pour RCAR

RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR

RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR

RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR RAS pour RCAR

L'Intgrit des informations mises disposition du public doit tre protge pour empcher toute modification non autorises

Un processus est mis en place pour lier tout accs aux composants du systme un utilisateur

Les protocoles d'audit sont activs chaque connexion y compris via les rseaux sans fil (observer un chantillon et questionner l'administrateur) Les journaux permettent de reconstituer les oprations ralises par toute personne ayant des droits root ou administrateur. Les journaux permettent de reconstituer les tentatives d'accs non autorises Journalisation de l'utilisation de l'identification et de mcanismes d'authentificatio la cration , la suppression ou l'ajout d'objets l'identification de l'utilisateur le type , la date et l'heure d'opration l'indication de l'chec ou de la russite de l'opration y compris pour les connexions sans fil

l'origine de l'vnement l'identification des donnes, systme ou ressources affects les activits de surveillance et contrle des accs aux donnes sont formellement attribues.

Des procdures sont formalises pour l'examen priodique (quotidien) des journaux de scurit

Des revues rgulires des journaux sont effectues pour tous les composants du systme IDS et / ou IPS est en place pour surveiller et alerter le personnel de compromis prsums. IDS / IPS priphriques sont configurs, entretenu et mis jour selon les instructions du fournisseur pour assurer une protection optimale.

Les journaux d'audit sont accessibles uniquement au personnel en charge de l'activit concerne Les fichiers en cours relatifs aux journaux d'audit sont protgs contre les modifications non autorises par le biais des mcanismes de contrle d'accs, la sgrgation physique et / ou la sparation du rseau. Les fichiers en cours relatifs aux journaux d'audit sont rapidement sauvegardes sur un serveur de journalisation centralise ou sur des supports difficiles modifier. Les journaux des rseaux wifi sont copis dans un serveur centralis ou sur des supports difficiles modifier. Un logiciel de surveillance d'intgrit ou de dtection de changement des journaux est utilis pour assurer la gnration d'alertes en cas de tentative de changement de donnes.
Les procdures de scurit comprennent les politiques de conservation du journal d'audit et exigent la rtention du journal d'audit pour une dure minimale compatible avec les pratques du mtier et les exigences lgales.

IDS et / ou IPS est en place pour surveiller et alerter le personnel de compromis prsums. IDS / IPS priphriques sont configurs, entretenu et mis jour selon les instructions du fournisseur pour assurer une protection optimale.

dans manuel?Procdure de gestion des anomalies

NTP ou une technologie similaire est utlise pour la synchronisation.

Deux ou trois serveurs de temps centraux au sein de l'entreprise reoivent des signaux de temps externe (directement partir d'une radio spciale, les satellites GPS ou d'autres sources externes sur la base du "Temps atomique international" et l'heure UTC (anciennement GMT)), et partagent les uns avec les autres afin de conserver une heure prcise, et avec d'autres serveurs internes (c.-serveurs internes ne devraient pas tre

Afin de prvenir une attaque pour le changement de l'heure, des htes externes spcifiques sont dsigns pour la mise jour de NTP

La configuration du pare feu/routeur n'autorise pas l'accs direct (flux entrant ou sortant) entre la DMZ et l'internet. La configuration du pare feu/routeur n'autorise que le trafic sortant vers les IP de la DMZ. Pour les composants de pare-feu / routeur, ci-dessus, vrifiez que le NAT ou une autre technologie utilisant l'espace d'adresse RFC 1918 est utilis pour limiter la diffusion des adresses IP du rseau interne Internet (IP masquerading). Les normes de configuration du systme pour les composants rseau et des serveurs critiques, y compris les points d'accs sans fil, incluent toutes les vulnrabilits et les bonnes pratiques connues. En outre dcider que chaque article ci-dessous est une partie du processus lorsque de nouveaux systmes sont configurs.

La politique en matire de contrle des donnes traite les aspects suivants: Les droits d'accs des IDs privilgis sont limits au minimum ncessaire pour effectuer le travail. Affectation des privilges aux individus est base sur la classification des emplois et la fonction. Un formulaire d'autorisation sign par la direction et spcifiant les privilges requis est exig. Un systme automatis de contrle d'accs Un systme de contrle d'accs est en place et configur par dfaut sur le principe "refuser tout" moins d'une autorisation explicitement formalise. Le systme de contrle d'accs couvre tous les composants Le systme de contrle d'accs prvoit l'affectation de privilges aux individus sur la base de la classification des emplois et la fonction. Le systme de contrle d'accs est bti dur le principe Refuser tout par dfaut (certains systmes de contrle d'accs sont dfinis par dfaut sur allow-tout ce qui permet l'accs moins que / jusqu' ce qu'une rgle est crit spcifiquement pour le nier).

L'examen des listings des utilisateurs (chantillon) :


Les mots de passe partags ou collectifs ne sont pas autoriss.

Les identits partages pour les activitsd'administration ou autres activits critiques n'existent pas. Les procdures d'affectation des mots de passe interdisent clairement les mots de passe partags. Les admibnistrateurs du systme refusent toute affectation de mot de passe partag

La procdure d'affectation des mots de passe exige le changement du mot de passe par l'utilisateur la premire utilisation

La procdure d'affectation des mots de passe exige la dsactivation ou la suppression des identits des personnes qui ne font plus partie du personnel. Les identits des membres du personnel ayant quitt l'entreprise ont t dsactives ou supprimes.

Les comptes et les mots de passe fournis par dfaut par les fournisseurs des composants du systme sont changs ou limins en cas de non utilit.

Pour les environnements sans fil, les valeurs des fournisseurs par dfaut sont limines y compris mais sans s'y limiter, les cls WEP, SSID par dfaut, mots de passe et des chanes de communaut SNMP et dsactivation des diffusions SSID. Activer une connexion Wi-Fi Protected Access (WPA) pour la technologie de cryptage et d'authentification si WPA-capable. Les cls WEP par dfaut sont changs l'installation, et sont modifis chaque fois qu'une personne en ayant connaissance quitte l'entreprise ou change de poste. Le SSID par dfaut a t chang La diffusion du SSID a t dsactive Les communits SNMP ont t changes Les mots de passe ou les points d'accs par dfaut ont t changs La technologie WPA est active si le systme wifi est WPA compatible La connaissance des cls est partage (de sorte qu'il y ait besoin de 2 ou 3 personnes, chacun sachant que leur partie de la cl, pour reconstruire la cl entire). Des dispositions sont mises en place pour empcher la substitution non autorise des cls Les cls identifies ou suspectes d'tre corrompues sont remplaces Le personnel en charge de la gestion des cls a sign une reconnaissance de sa responsabilit. Comptes d'application personnaliss, les identifiants et / ou mots de passe sont supprims avant le passage en production ou la fourniture au client L'identit de l'utilisateur est vrifie en cas de demande de rinitialisation de mot de passe par une mthode autre que le face face (tel, mail, ). La procdure d'affectation des mots de passe exige le changement du mot de passe par l'utilisateur la premire utilisation La procdure d'affectation des mots de passe exige la dsactivation ou la suppression des identits des personnes qui ne font plus partie du personnel. Les identits des membres du personnel ayant quitt l'entreprise ont t dsactives ou supprimes. Les utilisateurs connaissent/ont t sensibiliss aux procdure de gestion des mots de passe. Les attributions en matire de gestion des comptes utilisateurs et d'authentification sont formellement assignes.

Il n'existe aucun compte inactif sur l'chantillon considr durant les X derniers mois.

Vrifier les moyens de communication

Les normes de configuration des pare-feu sont compltes.

Les services ou les protocoles en cours d'activation au moment de l'observation ne sont pas inutiles ou non scuriss . L'utilisation des services ou des protocoles qui sont potentiellement dangereux est dment documente et justifie (par exemple, FTP n'est pas utilis, ou est crypt via SSH ou une autre technologie). Les administrateurs systme et / ou les responsables de la scurit connaissent les paramtres de scurit pour leurs systmes d'exploitation, serveurs de bases de donnes, serveurs Web et les systmes sans fil. Les paramtres usuels de scurit sont pris en compte dans les normes de configuration du systme. Un systme de contrle d'accs est en place et configur par dfaut sur le principe "refuser tout" moins d'une autorisation explicitement formalise. Le systme de contrle d'accs couvre tous les composants Le systme de contrle d'accs prvoit l'affectation de privilges aux individus sur la base de la classification des emplois et la fonction. Le systme de contrle d'accs est bti dur le principe Refuser tout par dfaut (certains systmes de contrle d'accs sont dfinis par dfaut sur allow-tout ce qui permet l'accs moins que / jusqu' ce qu'une rgle est crit spcifiquement pour le nier). Ces exigences sont traites dans la PSI

Pour les environnements sans fil, les valeurs des fournisseurs par dfaut sont limines y compris mais sans s'y limiter, les cls WEP, SSID par dfaut, mots de passe et des chanes de communaut SNMP et dsactivation des diffusions SSID. Activer une connexion Wi-Fi Protected Access (WPA) pour la technologie de cryptage et d'authentification si WPA-capable. Les cls WEP par dfaut sont changs l'installation, et sont modifis chaque fois qu'une personne en ayant connaissance quitte l'entreprise ou change de poste. Le SSID par dfaut a t chang La diffusion du SSID a t dsactive Les communits SNMP ont t changes Les mots de passe ou les points d'accs par dfaut ont t changs La technologie WPA est active si le systme wifi est WPA compatible Les comptes utiliss par les sous traitants de maintenance sont activs uniquement au besoin et dsactivs immdiatement aprs intervention. Toute utilisation d'quipement est authentifie avec identifiant et mot de passe ou un lment d'authentification (par exemple, un jeton).

Les fichiers de configuration du routeur sont scuriss et synchroniss (par exemple, les fichiers de configuration en cours d'excution, utilis pour le fonctionnement normal des routeurs, et le dmarrage des fichiers de configuration-utiliss lorsque les machines sont redmarres, ont les mmes configurations scurises). Les comptes utiliss par les sous traitants de maintenance sont activs uniquement au besoin et dsactivs immdiatement aprs intervention.

Les normes de configuration de pare-feu comprennent une description des groupes, des rles et des responsabilits pour la gestion logique des composants rseau. Les normes de configuration de pare-feu comprennent une liste documente des services / ports ncessaires l'activit. Les normes de configuration du systme pour les composants rseau et les serveurs critiques, y compris les points d'accs sans fil Une seule fonction primaire est mis en uvre par serveur Les services ou les protocoles en cours d'activation au moment de l'observation ne sont pas inutiles ou non scuriss . L'utilisation des services ou des protocoles qui sont potentiellement dangereux est dment documente et justifie (par exemple, FTP n'est pas utilis, ou est crypt via SSH ou une autre technologie).

Emplacements rseau acceptables pour la technologie.

Un pare-feu existe chaque connexion Internet et entre toute zone DMZ et l'Intranet.

Le trafic entrant et sortant est limit aux protocoles Web (http, https) [dans le cas de la liaison internet -DMZ et intranet-DMZ (l'chantillon d'observation inclut le routeur d'tranglement l'Internet, le routeur DMZ et pare-feu, le segment porteur DMZ, le routeur priphrique, et le segment porteur intrieur du rseau)] . Le trafic entrant et sortant est limit l'administration du systme / mthodes d'accs distance (VPN, SSH) [ dans le cas de la liaison internet -DMZ et intranet-DMZ (l'chantillon d'observation inclut le routeur d'tranglement l'Internet, le routeur DMZ et pare-feu, le segment porteur DMZ, le routeur priphrique, et le segment porteur intrieur du rseau)] . Le trafic entrant et sortant est limit tout autre trafic autoris par l'entreprise et documente dans la politique de pare-feu. [ dans le cas de la liaison internet -DMZ et intranet-DMZ (l'chantillon d'observation inclut le routeur d'tranglement l'Internet, le routeur DMZ et pare-feu, le segment porteur DMZ, le routeur priphrique, et le segment porteur intrieur du rseau)] . Les connexions sont limites entre serveurs accessibles au public et les composants de stockage de donnes. Le trafic Internet entrant est limit aux adresses IP dans la zone dmilitarise. Le trafic Internet entrant et sortant est limit aux ports 80 et 443. Les adresses internes ne peuvent pas passer de l'Internet dans la zone dmilitarise. Le pare-feu effectue le filtrage dynamique de paquets. (Seules les connexions tablies devraient tre autoriss entrer, et seulement si elles sont associes une session prcdemment tablie (NMAP de fonctionner sur tous les ports TCP et UDP avec "reset syn ou syn ack" set bits - une rponse signifie paquets sont autoriss traverser, mme si elles ne font pas partie d'une session prcdemment tablie)).

Le trafic sortant est limit ce qui est ncessaire et document. Les trafics sortant ou entrant non autoriss sont refuss.

Procdure de scurit d'ouverture de session


Un systme de contrle d'accs est en place et configur par dfaut sur le principe "refuser tout" moins d'une autorisation explicitement formalise. Le systme de contrle d'accs couvre tous les composants Le systme de contrle d'accs prvoit l'affectation de privilges aux individus sur la base de la classification des emplois et la fonction. Le systme de contrle d'accs est bti dur le principe Refuser tout par dfaut (certains systmes de contrle d'accs sont dfinis par dfaut sur allow-tout ce qui permet l'accs moins que / jusqu' ce qu'une rgle est crit spcifiquement pour le nier). Les mots de passe sont illisibles durant bla transmission et le sockage . Pour les fournisseurs de services seulement, les mots de passe des clients sont cryptes. Les formulaires d'autorisation sont disponibles pour l'chantillon observ d'administrateurs et utilisateurs Les IDs sont implments sur le systme conformment au formulaire d'autorisation (privilges conformes ceux spcifis, ..;etc). Seuls les administrateurs ont accs des consoles de gestion pour rseaux sans fil.

Le mcanisme de chiffrement utilis pour protger les donnes stockes, y compris le fournisseur, le type de systme de cryptographie, et les algorithmes de cryptage est document. Le mcanisme de chiffrement permet de rendre les donnes illisibles ( One-way hashes, troncage ou masquage, index token and PADs, cryptographie forte, )

Les utilisateurs ont un identifiant unique pour accder aux composants du systme. La procdure d'authentification exigent que les utilisateurs aient un identifiant unique pour accder aux composants du systme. L'authentification de l'chantillon observ se droule comme prvu par la procdure.

Une authentification deux facteurs (mot de passe + autre lment d'id tq carte, jeton, ...) est en place pour tous les accs rseau distance(observer )

Le mcanisme de chiffrement utilis pour protger les donnes stockes, y compris le fournisseur, le type de systme de cryptographie, et les algorithmes de cryptage est document. Le mcanisme de chiffrement permet de rendre les donnes illisibles ( One-way hashes, troncage ou masquage, index token and PADs, cryptographie forte, )

Les dispositions mises en place obligent les utilisateurs changer les mots de passe au moins tous les x mois Les dispositions mises en place requirent que les mots de passe contiennent au moins n caractres numriques et alphanumriques. Les dispositions mises en place requirent que les nouveaux mots de passe soient diffrents des x prcdents Les dispositions mises en place prvoient la fermeture temporaire du compte aprs t tentatives d'accs invalides.

ql procdure?

ql procdure?
La session inactive est tablie yy minutes

La dconnexion automatique des sessions modem intervient aprs une priode d'inactivit spcifie.

Les fichiers de configuration du routeur sont scuriss et synchroniss (par exemple, les fichiers de configuration en cours d'excution, utilis pour le fonctionnement normal des routeurs, et le dmarrage des fichiers de configuration-utiliss lorsque les machines sont redmarr, ont les mmes configurations scurises). Toutes les fonctionnalits inutiles (par exemple, les conducteurs, les caractristiques des sous-systmes, les systmes de fichiers, etc) sont supprimes. Les fonctions actives sont documents, soutiennent la configuration scurise, et sont les seuls prsentes sur les machines de l'chantillon. Les donnes de l'chantillon observ du serveur de base de donnes sont chiffres. Les donnes critiques stockes sur support amovible sont chiffres. Les donnes sensibles sont supprimes des journaux d'audit Les donnes reues de rseaux sans fil sont cryptes au stockage. Un logiciel antivirus est install sur les composants chantillonns Les mcanismes anti-virus sont jour, et activement en cours d'excution, et capable de gnrer des listes de contrle. La PSI exige la dfinition et la mise jour des antivirus L'installation principale du logiciel est active pour la mise jour automatique et l'analyse priodique.

La gnration de journal est active et que les journaux sont conservs conformment la politique de conservation de l'entreprise. Un systme de contrle d'accs est en place et configur par dfaut sur le principe "refuser tout" moins d'une autorisation explicitement formalise. Le systme de contrle d'accs couvre tous les composants Le systme de contrle d'accs prvoit l'affectation de privilges aux individus sur la base de la classification des emplois et la fonction. Le systme de contrle d'accs est bti dur le principe Refuser tout par dfaut (certains systmes de contrle d'accs sont dfinis par dfaut sur allow-tout ce qui permet l'accs moins que / jusqu' ce qu'une rgle est crit spcifiquement pour le nier). L'accs toute base de donnes est authentifi, y compris pour les particuliers, les applications et les administrateurs. Les requtes SQL directes la base de donnes sont limites aux administrateurs de bases de donnes). Le fichier de surveillance de l'intgrit est mis en place pour signaler au personnel toute modification non autorise du systme critique ou de fichiers de contenu, et d'effectuer des comparaisons de fichiers critiques au moins quotidiennement (ou plus souvent si le processus peut tre automatis).

Lors de l'accs aux donnes sensibles, la fonction de stockage sur des disques durs locaux, des disquettes ou autres supports externes lors de l'accs de ces donnes distance via modem, est dsactive; ainsi que le "copier-coller" et l'impression. Les attributions de surveillance et de contrle d'accs aux donnes sont formellement attribues.

La base dedonnes est place dans une zonz du rseau interne, spare de la DMZ. Les fonctions primaires sont implmentssur des serveurs spars (web, base de donnes, DNS, )

Les PC mobile et / ou appartenant aux employs avec accs direct l'Internet (par exemple, ordinateurs portables utiliss par les employs), et qui sont utiliss pour accder au rseau de l'entreprise disposent d'un logiciel pare-feu personnel actif, qui est configur par l'entreprise selon des normes spcifiques et non modifiable par l'employ. Pour les environnements sans fil, les valeurs des fournisseurs par dfaut sont limines y compris mais sans s'y limiter, les cls WEP, SSID par dfaut, mots de passe et des chanes de communaut SNMP et dsactivation des diffusions SSID. Activer une connexion Wi-Fi Protected Access (WPA) pour la technologie de cryptage et d'authentification si WPA-capable.

Les cls WEP par dfaut sont changs l'installation, et sont modifis chaque fois qu'une personne en ayant connaissance quitte l'entreprise ou change de poste. Le SSID par dfaut a t chang La diffusion du SSID a t dsactive Les communits SNMP ont t changes Les mots de passe ou les points d'accs par dfaut ont t changs La technologie WPA est active si le systme wifi est WPA compatible

Les processus de dveloppement de logiciels sont bass sur des normes industrielles prenant en compte la scurittout au long du cycle de vie.

Les environnements de test / dveloppement sont spars de l'environnement de production, avec un contrle d'accs mis en place pour excuter la sparation.

Procdure de recette qui identifie les spec?


Les dveloppeurs sont bien informs des techniques de codage scuris. Sinon, dterminer que les examens priodiques de code externes ou des tests de pntration d'applications sont excutes sur la base des lignes directrices OWASP, et toutes les vulnrabilits de codage sont corriges et values. Des processus sont en place afin de dterminer que les applications Web ne sont pas vulnrables des inputs non valids, des usurpations d'identit ou de codes, de comptes, de cookies, dbordements de tampons dus des entres non valides, attaques par injection de commandes, des stockages non scuriss, dni de service, gestion non scurise de la configuration

Procdure de recette

SSH (ou autre mthode de cryptage) est appel avant le mot de passe quand l'administrateurse connecte au systme. Telnet et autres log-in des commandes distance ne sont pas disponibles pour une utilisation interne. L' accs administrateur l'interface de gestion sans fil est crypt avec SSL / TLS. ou l'administrateur ne peut pas se connecter distance l'interface de gestion sans fil (toute la gestion des environnements sans fil est seulement partir de la console).

Les politique/procdures traitent des exigences lgales, rglementaires, et mtier pour la conservation des donnes, y compris des exigences spcifiques pour la conservation des donnes des clients Les politique/procdures traitent de l'limination des donnes lorsqu'elles ne sont plus ncessaires pour des raisons juridiques, rglementaires, ou d'une entreprise, y compris l'limination des donnes des clients. Les politique/procdures traitent de l'tendue pour tout le stockage des donnes , y compris les serveurs de bases de donnes, les ordinateurs centraux, les rpertoires de transfert et les rpertoires de copie de donnes utiliss pour transfrer des donnes entre les serveurs et rpertoires utiliss pour normaliser les donnes entre les transferts de serveur.

Les politique/procdures traitent des dispositions d'limination automatique, selon une frquence tablie, des donnes clients stockes qui dpasse les exigences mtier de conservation. et/ou un audit est ralis, selon une frquence tablie, afin de vrifier que le stockage des donnes clients ne dpasse pas les exigences de conservation de l'entreprise.

Le stockage des cls cryptographiques dans un format crypt; les donnes de cryoptage sont stockes sparment des cls de cryptage. La connaissance des cls est partage (de sorte qu'il y ait besoin de 2 ou 3 personnes, chacun sachant que leur partie de la cl, pour reconstruire la cl entire). Des dispositions sont mises en place pour empcher la substitution non autorise des cls Les cls identifies ou suspectes d'tre corrompues sont remplaces Le personnel en charge de la gestion des cls a sign une reconnaissance de sa responsabilit. Un processus de cryptage fort est mis en oeuvre pour protger les donnes sensibles lors de leur transmission sur des rseaux publics. Un chiffrement d'au moins 128 bits est utilis lors de la transmission des donnes. Pour les implmentations SSL, le protocole HTTPS apparat comme une partie du navigateur Universal Record Locator (URL), et aucune donne client n'a t requise lorsque HTTPS n'apparat pas dans l'URL. Les donnes clients sont cryptes pendant la transaction. Seuls les cls SSL / certificats de confiance sont accepts. Pour la mthode de cryptage en utilisation, le niveau de chiffrement appropri est mis en oeuvre. (3DES 128 bits; AES 256 bits; RSA 1024 bits, .)

Pour les rseaux sans fil transmettant des donnes clients, les transmissions sont cryptes en utilisant une connexion Wi-Fi WPA si la technologieest compatible, ou VPN ou SSL 128 bits. Des mthodes de cryptage appropries sont utilises pour les transmissions sans fil, tels que: VPN, SSL / TLS 128 bits, WEP (Wired Equivalency Protocol) 128 bits, et / ou WPA. Si WEP est utilis, un processus de rotation des cls WEP partages est mis en place avec une priodicit dfinie et chaque fois qu'un membre du personnel cl quitte le poste. Si WEP est utilis, une mthode supplmentaire est utilise pour la protection des donnes. En cas de rotation automatique des cls, un changement de dtenteur est effectu toutes les xx minutes Le logiciel de cryptage des email existe sur les ordinateurs personnels des employs. La politique en place exige le cryptage des mails concernant les donnes clients

Procdure de gestion des cls


Les cls de chiffrement sont protgs contre toute mauvaise utilisation ou divulgation L'accs aux cls de chiffrement est rserv des dtenteurs autoriss

La procdure contient une exigence sur la force de la cl gnrer La procdure contient une exigence sur la distribution de la cl La procdure contient une exigence sur le stockage La procdure contient une exigence sur le changement priodique de la cl La procdure contient une exigence sur la destruction de l'ancienne cl Le logiciel de cryptage des email existe sur les ordinateurs personnels des employs. La politique en place exige le cryptage des mails concernant les donnes clients

Procdure de contrle dinstallation du logiciel sur les systmes en exploitation.


Les politiques crites comprennet l'exigence des revues de code par d'autres personnes que l'auteur qui en a t l'origine . Les politiques crites comprennet l'exigence que les revues de codesont effectues aussi bien pour les nouveau codes que pour les codes changs.

Les donnes utilises dans les environnements de test et de dveloppement sont diffrentes des donnes de production (donnes relles).

Les donnes et comptes de test sont limins avant le passage en production.

Des produits de surveillance de l'intgrit des fichiers sont utiliss.

Procdure de contrle des modifications

Tous les changements (y compris les correctifs) sont tests avant d'tre dploy en production. la documentation de l'impact client est inclus dans la documentation de contrle des changements pour chaque changement chantillonn.

Les changements sont autorises par les responsables mandats

Les changements ont fait l'objet d'un test Des procdures de retour (back out) sont prpares pour chaque changement. Le processus de dveloppement des applications web exige la formation en techniques de codage scuris pour les dveloppeurs, base sur les directives telles que les directives OWASP ..
Les dveloppeurs sont bien informs des techniques de codage scuris. Sinon, dterminer que les examens priodiques de code externes ou des tests de pntration d'applications sont excutes sur la base des lignes directrices OWASP, et toutes les vulnrabilits de codage sont corriges et values. Des processus sont en place afin de dterminer que les applications Web ne sont pas vulnrables des inputs non valids, des usurpations d'identit ou de codes, de comptes, de cookies, dbordements de tampons dus des entres non valides, attaques par injection de commandes, des stockages non scuriss, dni de service, gestion non scurise de la configuration

Procdure de validation des modifications

La politique d'utilisation du modem exige une liste de produits approuvs

Toute fonctionnalit inutile est supprime. Les fonctions actives sont documentes, la configuration scurise.

Tous les composants systme et logiciel comportent les correctifs de scurit les plus rcents fournis par le fabricant. Les patchs de scurit opportuns sont installs ldans les n jours (30) Un processus pour identifier les failles de scurit rcemment dcouvertes est mis en place.. Mettez jour vos normes pour aborder les questions nouvelles vulnrabilits. Les normes de configuration du systme sont mises jour selon les nouvelles vulnrabilits.

dans manuel?Procdure de gestion des anomalies


Les attributions relatives la cration, la rponse et l'escalade des incidents de scurit sont formellements assignes Les procdures de gestion des incidents incluent des dispositions relatives la dtection, la prvention de l'intrusion et les systmes de surveillance de l'intgrit des fichiers

Un plan de rponse aux incidents est mis en place pour parer immdiatement toute dfaillance de la scurit Le plan de rponse aux incidents et la procdure associe traitent: Les rles, les responsabilits et les stratgies de communication dans le cas d'un incident compromettant la continuit du systme

La couverture et les rponses pour tous les composants critiques du systme. La notification des clients/parties prenantes sensibles Stratgie pour la continuit d'activit aprs ll'incident Les exigences lgales en matire d'information en cas de compromission du systme Un systme d'astreinte est mis en place pour intervenir en cas de compromission du systme Le suivi et le traitement des alertes des systmes de scurit sont inclus dans le plan de rponse aux incidents.

Intgration dans la revue Q la fiche comprend un champ d'information: rcurrence


Il existe un processus pour modifier et faire voluer le plan de rponse aux incidents selon l'exprience et l'volution du contexte.

Procdure disciplinaire

Cartographie des risques et sa mise jour

Le plan de rponse aux incidents et la procdure associe traitent:

Les rles, les responsabilits et les stratgies de communication dans le cas d'un incident compromettant la continuit du systme La couverture et les rponses pour tous les composants critiques du systme. La notification des clients/parties prenantes sensibles Stratgie pour la continuit d'activit aprs ll'incident Les exigences lgales en matire d'information en cas de compromission du systme

Intgration du plan de seours informatique dans le plan de continuit global

Le plan de continuit d'activit (plan de rponse aux incidents) est test au minimum une fois par an.

ss-trt ne fait que la veille technologique


comment veille?

Les politique/procdures traitent des exigences lgales, rglementaires, et mtier pour la conservation des donnes, y compris des exigences spcifiques pour la conservation des donnes des clients Les politique/procdures traitent de l'limination des donnes lorsqu'elles ne sont plus ncessaires pour des raisons juridiques, rglementaires, ou d'une entreprise, y compris l'limination des donnes des clients. Les politique/procdures traitent de l'tendue pour tout le stockage des donnes , y compris les serveurs de bases de donnes, les ordinateurs centraux, les rpertoires de transfert et les rpertoires de copie de donnes utiliss pour transfrer des donnes entre les serveurs et rpertoires utiliss pour normaliser les donnes entre les transferts de serveur. Les politique/procdures traitent des dispositions d'limination automatique, selon une frquence tablie, des donnes clients stockes qui dpasse les exigences mtier de conservation. et/ou un audit est ralis, selon une frquence tablie, afin de vrifier que le stockage des donnes clients ne dpasse pas les exigences de conservation de l'entreprise. Les procdures de scurit comprennent les politiques de conservation du journal d'audit et exigent la rtention du journal d'audit pour une dure minimale compatible avec les pratques du mtier et les exigences lgales.

Des systmes de dtection d'intrusion propres , bass chez l'hte sont mis en place pour surveiller le trafic rseau et alerter le personnel en cas de compromission prsume.

Les d' IDS/IPS sont configurs, maintenus et mis jour selon les instructions du fiurnisseur.
Les systmes de dtection d'intrusion sont tenus jour. Les produits de suivi de l'intgrit des fichiers sont utiliss.

Fiche mission et attributions/volet scurit SI; procdure gestion du sous-traitant (contrle du respect SSI)

Contrat sous-traitance et/ou procdure de revue scurit

Contrat sous-traitance et/ou procdure d'audit scurit


Les normes de configuration de pare-feu exigent un examen priodique des rgeles de paramtrage de pare-feu / routeur Des processus sont en place afin de dterminer que les applications Web ne sont pas vulnrables des inputs non valids, des usurpations d'identit ou de codes, de comptes, de cookies, dbordements de tampons dus des entres non valides, attaques par injection de commandes, des stockages non scuriss, dni de service, gestion non scurise de la configuration Les contrles de scurit, les limitations, les connexions rseau et les restrictions sont rgulirement tests pour assurer leur adquation en cas de tentative d'accs non autoris. Un analyseur sans fil est utilis pour identifier tous les priphriques sans fil prsents. L'analyse de la vulnrabilit du rseau interne et externe est ralise tous les X mois et aprs tout changement significatif dans le rseau (par exemple, installation de nouveaux composants systme, les changements dans la topologie du rseau, les modifications de rgles de pare-feu, mises niveau de produits). L'analyse de vulnrabilit a t ralise par une entit comptente en matire de PCI Les rsultats de l'analyse sont pris en charge en cas de vulnrabilits critiques ou urgentes Des tests de pntration sur l'infrastructure rseau et les applications sont raliss tous les XX mois et aprs un upgrade significatif d'infrastructure importante ou d'application ou modification

ql pec des contraintes mtier?

Faire le distingo entre audit systme et audit journaux

Document/situation examiner

Cible

PSI/Procdures/Disque de stockage

Descriptif crit des processus de dveloppement

Descriptif crit des processus de dveloppement

Dveloppeurs

Echantillon d'applications web/dveloppeurs

Echantillon d'applications web

Echantillon d'applications web

Echantillon de composants du systme

Administrateur

fichiers des paramtres et services Accs l'interface de gestion sans fil Administrateur

Politique et procdures associes

Processus de chiffrement/Les dossiers de configuration du systme

Echantillon de transactions

Politique

Politique

Politique

Politique Politique Politique Politique Questionner qqs personnes

Procdure de gestion des cls/Liste des accs des utilisateurs

Utilisateurs

Procdure de gestion des cls

Politique Politique

Questionner qqs personnes

Politique

Politique

systme

paramtrage systme; fichiers/rsultats surveillance

Procdure de contrle des modifications/ traabilit des n correctifs Echantillon de composants du systme les plus rcents pour chaque composant

Processus de dveloppement des applications web

Echantillon d'applications web/dveloppeurs Echantillon d'applications web

Echantillon d'applications web

Fichiers systme/chantillon de machines

Liste des correctifs de scurit

Politique patch de scurit Responsable des processus

Responsable des processus

Procdure des gestion des incidents

Procdure des gestion des incidents/Plan de rponse aux incidents

Procdure de gestion des incidents/plan de rponse aux incidents

Politique Plan de rponse aux incidents

Procdure de gestion des incidents/ procdure d'actions d'amlioration et capitalisation/Processus d'amlioration

PCA/rsultats tests

Politique et procdures associes

PSI/Procdures/Disque de stockage

Dtection d'intrusion ou logiciel de prvention/Paramtres de configuration des IDS et IPS

Paramtres de configuration du systme/fichiers surveills/rsultats de la surveillance

Pramtres de configuration

Echantillon d'applications web

Procdure de test/ rsultats

Personnel de scurit

Rsultats d'analyse des X derniers trimestres/Procdures PCI

Rsultats des tests de pntration; date de ralisation

Disposition CNRA/RCAR

Suffisante oui/non

Une PSI existe

La revue est prvue dans la PSI, sous-traitance

Exprime dans la PSI

Oui

Tches internes et sous-traitances; Manuel PSI

Attribution des responsabilits

Oui

Attribution des responsabilits

Oui

Engagement salari/contractant

Oui

Non trait

Relations avec des cabinets d'audit

actuellement revue POL confie soustraitant, n'est pas optionnel selon 27001

Non

Parmi les risques identifis: accs par des tiers non autoriss

Parmi les risques identifis: accs par les clients

Parmi les risques identifis: accs par les contractuels

Le niveau dimportance des lments de lactif est galement prcis : critique ou sensible (il nest pas indispensable de mentionner les lments non importants dans le tableau).

Non

Inventaire nominatif de lactif informationnel de CNRA\RCAR

oui

Procdures : gestion des droits d'accs, ..des habilitations

Une typologie est liste dans l'engagement de confidentialit

Trait en partie

Assurez-vous que la politique existe pour contrler la distribution de l'information titulaire, couvre tous les supports distribus dont celui distribu des particuliers, et que cette politique requiert les lments suivants:

Attributions

Oui

Non trait

Informez-vous de la gestion des ressources humaines et de service de dterminer qu'il ya

Non trait

OK engagements

Sous-traite pour le personnel;

Engagement

Engagement

Engagement

Engagement

Scurit physique et environnementale

Scurit physique et environnementale

Renseignez-vous sur les administrateurs de rseau et de dterminer galement par l'observation que les prises rseau ne sont activs que lorsque cela est ncessaire aux employs autoriss. Par exemple, des salles de confrence utilises pour les visiteurs d'accueil ne devraient pas avoir des ports rseau avec DHCP activ. Sinon, vrifiez que les visiteurs sont escorts en tout temps dans les zones de prises rseau actives.

Scurit physique et environnementale

Scurit lectrique et environnementale

Examiner les politiques et les procdures de sauvegardes et visiter les installations de stockage hors-site afin de dterminer ce que les supports de sauvegarde sont stockes dans un physiquement scuris, rsistant au feu, emplacement hors site.

Scurit physique et environnementale

Scurit physique et environnementale

Scurit lectrique et environnementale

Scurit lectrique et environnementale

Scurit lectrique et environnementale

Procdure de maintenance

Aucun matriel ne sort sans autorsation

Attributions

Sparation des environnements de dveloppement et de production

Oui

Engagement

Non trait

dfinir les applications installes sur les ordinateurs, et attribuer / refuser les demandes d'ajouts d'applications

Non trait

Non trait

Non trait

Gestion des sauvegardes Procdure de remise en activit Plan de secours

Non trait

Non claire partir de POLSI

Non trait

Non claire partir de POLSI

Non trait

Non claire p POLSI

Non trait

OK

Procdure d'inscription/dsinscription OK dans POLSI

Gestion des habilitations et des accs

Gestion des habilitations et des accs

Non trait

Engagement Formation, sensibilisation

Engagement Formation, sensibilisation

OK bureaux propres Procdure de connexion

Gestion des habilitations et des accs

Plateforme et stratgie de groupe

Fiche d'intervention-check liste

Non clair

Plateforme et stratgie de groupe

Plateforme et stratgie de groupe

Connexion externe rserve aux cas indispensables

Non trait

Stratgie de groupe

Stratgie de groupe

Stratgie de groupe

Responsable des applications

Stratgie de groupe

Stratgie de groupe

Gestion des habiitations et des accs

Non clair p de POLSI

Utilisation de l'encryption

Non trait

Gestion des incidents

Gestion des incidents

Gestion des incidents

Engagement

Plan de secours informatique

Plan de secours informatique

Procdure de veille sur les exigences rglementaires, lgales et autres Procdure de mise en conformit avec les exigences rglementaires, lgales et autres

Scurit physique, lectrique, environnementale Accs et habilitations

Scurit physique, lectrique, environnementale Accs et habilitations

Engagement, accs et habilitations

Encryption

Engagement

Procdure de vrification de la conformit technique (audit et revue sous-traits)

Procdure de vrification de la conformit technique (audit et revue sous-traits)

Ecart couvrir/ Besoin identifi la lecture du document

Documenter mme pour dire sans objet

Examiner si opportun relations avec autres que cabinet d'audit

Revue exige selon 27001; c'est une revue du systme; faire le distingo entre le SMSI et la Politique qui en est un des lments

Le contrat type prend-il en compte ces aspects

Tous les actifs doivent tre clairement identifis selon A.7.1.1

Check liste ou procdure de classification des informations; doit tre aussi un lment de la revue de la POLSI et du SMSI , ainsi que la revue des risques

Documenter : Procdures de marquage et de manipulation de l'information

Critres documenter en rfrence : fiche de poste, contrat type et critre de jugement, informations minimales tiers

Fiche de poste, contrat type et critre de jugement

Problmatique des matriels mobiles: PC portables

procdure de protection contre les codes malveillants? Procdure contre les codes mobiles? Procdures de sensibilisation?

faire le delta entre audit (sys) et audit (journaux)

ql otr proc prev?

faire le delta entre audit (sys) et audit (journaux)

Procdure de surveillance de l'utilisation des moyens de traitement de l'information (dont valuation de la surveillance)

Procdure de protection contre le risque li lutilisation dappareils informatiques et de communication mobiles.

Procdure concernant la scurit du tltravail ou "non applicable"

A dtailler

Procdure de veille rglementaire, lgale et autre; revue SSI

Procdure de gestion des incidents de scurit informationnelle

Procdure de simulation pour tester le plan

Procdure valuation de la conformit avec les exigences lgales, rglementaires et autre

Procdure veille et procdure conformit rglementaire ...

ISO 27001 Control


Column1 Column2

Requirements
Column3

Testing Procedures

Requirement 1: Install and maintain a firewall configuration to protect data.

Firewalls are computer devices that control computer traffic allowed into a companys network from outside, as w

Requirements

Testing Procedures

A10.1.1, A11.4.1

1.1 Establish firewall configuration standards that 1.1 Obtain and inspect the firewall include: configuration standards and other documentation specified below to obtain evidence the standards are complete. Also obtain a copy of the following documentation: 1.1.1 A formal process for approving and testing all external network connections and changes to the firewall configuration. 1.1.1 Obtain and examine the firewall configuration standards and verify a formal process is in place for all changes, including management approval and testing for all changes to external network connections and the firewall configuration. 1.1.2. Obtain and examine a current network diagram and verify that it documents all connections to cardholder data, including any wireless networks, and that the diagram is kept current. 1.1.3 Obtain a current network diagram and examine it verify that a firewall exists at each Internet connection and between any DMZ and the Intranet. 1.1.4 Verify that firewall configuration standards include a description of groups, roles, and responsibilities for logical management of network components. 1.1.5 Verify that firewall configuration standards include a documented list of services/ports necessary for business. 1.1.6 Verify that firewall configuration standards include justification and documentation for any available protocols besides HTTP and SSL, SSH, and VPN. 1.1.7 Verify that firewall configuration standards include justification and documentation for any risky protocols allowed (e.g., FTP), which includes reason for use of protocol, and security features implemented. Examine documentation and settings for each service in use to obtain evidence that the service is necessary and secured.

A6.1.4, A10.1.1, A10.3.2 1.1.2 A current network diagram with all connections to cardholder data, including any wireless networks. A10.6.1 1.1.3 Requirements for a firewall at each Internet connection and between any DMZ and the Intranet. 1.1.4 Description of groups, roles, and responsibilities for logical management of network components.

A10.6.1. A11.4.7

A11.1.1, A11.4.5 A11.1.1, A11.4.5

1.1.5 Documented list of services/ports necessary for business. 1.1.6 Justification and documentation for any available protocols besides HTTP and SSL, SSH, and VPN. 1.1.7 Justification and documentation for any risky protocols allowed (FTP, etc.), which includes reason for use of protocol and security features implemented.

A10.6.1

A10.6.2

1.1.8 Periodic review of firewall/router rule sets.

A15.2.2 1.1.9 Configuration standards for routers. A10.1.1 1.2 Build a firewall configuration that denies all traffic from untrusted networks/hosts, except for:

1.1.8 Verify that firewall configuration standards require periodic review of firewall/router rule sets. Obtain evidence that the rule sets are periodically reviewed. 1.1.9 Verify that firewall configuration standards include both firewalls and routers. 1.2 Choose a sample of (insert sample size) firewalls/routers 1) between the Internet and the DMZ and 2) between the DMZ and the internal network. The sample should include the choke router at the Internet, the DMZ router and firewall, the DMZ cardholder segment, the perimeter router, and the internal cardholder network segment. Examine firewall and router configurations to verify that inbound and outbound traffic is limited to: 1.2.1 Web protocols (HTTP, HTTPS).

A11.4.7 1.2.1 Web protocols HTTP (port 80) and Secure Sockets Layer (SSL) (typically port 443). 1.2.2 System administration protocols (e.g., Secure Shell (SSH) or Virtual Private Network (VPN). 1.2.3 Other protocols required by the business (e.g., for ISO 8583).

A10.6.1

A10.6.1

1.2.2 System administration/remote access methods (VPN, SSH).

A10.6.1

A11.4.7

A11.4.7

1.2.3 Other allowed traffic required by the business and documented in the firewall policy. 1.3 Build a firewall configuration that restricts 1.3 Examine firewall/router configurations to connections between publicly accessible servers verify that connections are restricted between and any system component storing cardholder publicly accessible servers and components data, including any connections from wireless storing cardholder data, as follows: networks. This firewall configuration should include: 1.3.1 Restricting inbound Internet traffic to IP 1.3.1 Determine that inbound Internet traffic addresses within the DMZ (ingress filters). is limited to IP addresses within the DMZ. 1.3.2 Restricting inbound and outbound Internet traffic to ports 80 and 443. 1.3.3 Not allowing internal addresses to pass from the Internet into the DMZ (egress filters). 1.3.4 Stateful inspection, also known as dynamic packet filtering (only established connections are allowed into the network). 1.3.2 Determine that inbound and outbound Internet traffic is limited to ports 80 and 443. 1.3.3 Determine that internal addresses cannot pass from the Internet into the DMZ. 1.3.4 Determine that the firewall performs stateful inspection (dynamic packet filtering). (Only established connections should be allowed in, and only if they are associated with a previously established session (run NMAP on all TCP and UDP ports with syn reset or syn ack bits set a response means packets are allowed through even if they are not part of a previously established session)).

A11.4.7

A11.4.7

A11.4.7

A11.4.7

A11.6.2

1.3.5 Placing the database in an internal network zone, segregated from the DMZ. 1.3.6 Restricting outbound traffic to that which is necessary for the payment card environment.

A11.4.7 1.3.7 Securing and synchronizing router configuration files (e.g., running configuration files used for normal running of the routers, and start-up configuration filesused when machines are re-booted, should have the same, secure configuration). 1.3.8 Denying all other inbound and outbound traffic not specifically allowed. 1.3.9 Installation of perimeter firewalls between any wireless networks and the payment card environment, and configuration of these firewalls to deny or control (if such traffic is necessary for business purposes) any traffic from the wireless environment. A10.6.1 1.3.10 Installation of personal firewall software on any mobile and/or employee-owned computers with direct connectivity to the Internet (e.g., laptops used by employees), which are used to access the organizations network. A11.7.1 1.4 Prohibit direct public access between external networks and any system component that stores cardholder information (e.g., databases). A11.1.1, A10.6.1 1.4.1 Implement a DMZ to filter and screen all traffic, to prohibit direct routes for inbound and outbound Internet traffic 1.4.2 Restrict outbound traffic from payment card applications to IP addresses within the DMZ.

1.3.5 Determine that the database is on an internal network zone, segregated from the DMZ. 1.3.6 Determine that outbound traffic is limited to that which is necessary and documented for the cardholder environment. 1.3.7 Determine that router configuration files are secure and synchronized (e.g., running configuration filesused for normal running of the routers, and start-up configuration filesused when machines are re-booted, have the same secure configurations). 1.3.8 Determine that all other inbound and outbound traffic not covered in 1.2.1 above is specifically denied. 1.3.9 Determine that there are perimeter firewalls installed between any wireless networks and systems that store cardholder data, and that these firewalls deny or control (if such traffic is necessary for business purposes) any traffic from the wireless environment into systems storing cardholder data. 1.3.10 Verify that mobile and/or employeeowned computers with direct connectivity to the Internet (e.g., laptops used by employees), and which are used to access the organizations network, have personal firewall software installed and active, which is configured by the organization to specific standards and not alterable by the employee. 1.4 To determine that direct access between external public networks and components storing cardholder data are prohibited, perform the following, specifically for the firewall/router configuration implemented between the DMZ and the internal network: 1.4.1 Examine firewall/router configurations and determine there is no direct route inbound or outbound for Internet traffic. 1.4.2 Examine firewall/router configurations and determine that internal outbound traffic from cardholder applications can only access IP addresses within the DMZ.

A10.7.4, A11.4.4, A11.6.1

A11.4.7

A11.1.1, A10.6.1

A11.1.1, A10.6.1

A11.1.1, A10.6.1

1.5 Implement Internet Protocol (IP) masquerading to prevent internal addresses from being translated and revealed on the Internet. Use technologies that implement RFC 1918 address space, such as Port Address Translation (PAT) or Network Address Translation (NAT).

1.5 For firewall/router components, above, verify that NAT or other technology using RFC 1918 address space is used to restrict broadcast of IP addresses from the internal network to the Internet (IP masquerading).

Requirement 2: Do not use vendor-supplied defaults for system passwords and other security

Hackers (external and internal to a company) often use vendor default passwords and other vendor default settin

Requirements 2.1 Always change the vendor-supplied defaults before you install a system on the network (e.g., passwords, SNMP community strings, and elimination of unnecessary accounts.).

Testing Procedures 2.1 Use the sample of system components, and attempt to log on (with system administrator help) to the devices using default vendor-supplied accounts and passwords, to verify that default accounts and passwords have been changed. (Use vendor manuals and sources on the Internet to find vendorsupplied accounts/passwords.) 2.1.1 Verify the following regarding vendor default settings for wireless environments:

A11.2.3 2.1.1 For wireless environments, change wireless vendor defaults, including but not limited to, WEP keys, default SSID, passwords, and SNMP community strings, and disabling of SSID broadcasts. Enable Wi-Fi Protected Access (WPA) technology for encryption and authentication when WPA-capable.

A11.2.3, A11.4.2, A11.7.1

A11.2.3, A11.4.2, A11.7.1 A11.2.3, A11.4.2, A11.7.1 A11.2.3, A11.4.2, A11.7.1 A11.2.3, A11.4.2, A11.7.1 A11.2.3, A11.4.2, A11.7.1 A11.2.3, A11.4.2, A11.7.1 A11.2.3, A11.4.2, A11.7.1

WEP keys were changed from default at installation, and are changed anytime any one with knowledge of the keys leaves the company or changes positions. Default SSID was changed.

Broadcast of the SSID was disabled. Default SNMP community strings on access points were changed. Default passwords on access points were changed. WPA technology is enabled if the wireless system is WPA-capable. Other security-related wireless vendor defaults, if applicable.

A11.1.1, A11.4.5 A11.1.1, A11.4.5

2.2 Develop configuration standards for all system components. Make sure these standards address all known security vulnerabilities and industry best practices.

2.2.a Examine the organizations system configuration standards for network components and critical servers, including any wireless access points, and verify each item below is included in the standard. 2.2.b Additionally determine that each item below is part of the process when new systems are configured. 2.2.1 Only one primary function is implemented per server.

A11.6.2

2.2.1 Implement only one primary function per server (e.g., web servers, database servers, and DNS should be implemented on separate servers). 2.2.2 Disable all unnecessary and insecure services and protocols (services and protocols not directly needed to perform the devices specified function).

A11.4.1 2.2.3 Configure system security parameters to prevent misuse.

A11.4.1

A11.4.1

A11.4.1 2.2.4 Remove all unnecessary functionality, such as scripts, drivers, features, subsystems, file systems (e.g., unnecessary web servers).

2.2.2 Obtain and inspect enabled system services, daemons, and protocols from the sample of (insert number and/or description of sample). Verify that unnecessary or insecure services or protocols are not enabled, and that any potentially dangerous ones are justified and documented as to appropriate use of the service (e.g., FTP is not used, or is encrypted via SSH or other technology). 2.2.3.a Inquire of system administrators and/or security managers to determine that they have knowledge of common security parameter settings for their operating systems, database servers, Web servers, and wireless systems. 2.2.3.b Verify that common security parameter settings are included in the system configuration standards. 2.2.3.c Select a sample of (insert number and/or description of sample) from all system components the samples of databases and critical servers (including wireless), and verify that common security parameters are set appropriately. 2.2.4 Obtain and inspect system files to determine that all unnecessary functionality (e.g., drivers, features, subsystems, file systems, etc.) is removed. Also, verify enabled functions are documented, support secure configuration, and are the only ones present on the sampled machines. 2.3 From the sample of (insert number and/or description of sample) system components, verify that non-console administrative access is encrypted by:

A11.6.1, A12.6.1 2.3 Encrypt all non-console administrative access. Use technologies such as SSH, VPN, or SSL/TLS for web-based management and other non-console administrative access.

A12.3.1

A12.3.1

A12.3.1

Observing an administrator log on to each sampled system to determine that SSH (or other encryption method) is invoked before the administrators password is requested. Reviewing services and parameter files on sampled systems to determine that Telnet and other remote log-in commands are not available for use internally. Verifying that administrator access to the wireless management interface is encrypted with SSL/TLS. Alternatively, verify that administrators cannot connect remotely to the wireless management interface (all management of wireless environments is only from the console).

A12.3.1

Requirement 3: Protect Stored Data

Encryption is the ultimate protection mechanism because even if someone breaks through all other protection me

Requirements

Testing Procedures

4.3.3, A12.3.1, A15.1.3

4.3.3, A12.3.1, A15.1.3 4.3.3, A12.3.1, A15.1.3

3.1 Keep cardholder information storage to a minimum. Develop a data retention and disposal policy. Limit your storage amount and retention time to that which is required for business, legal, 3.1 Obtain the company policies and procedures for data retention and disposal, and/or regulatory purposes, as documented in and observe that these policies and the data retention policy. procedures include: Legal, regulatory, and business requirements for data retention, including specific requirements for retention of cardholder data (e.g., cardholder data needs to be held for X period for Y business reasons). Disposal of data when no longer needed for legal, regulatory, or business reasons, including disposal of cardholder data.

4.3.3, A12.3.1, A15.1.3

Coverage for all storage of cardholder data, including database servers, mainframes, transfer directories, and bulk data copy directories used to transfer data between servers, and directories used to normalize data between server transfers.

4.3.3, A12.3.1, A15.1.3 3.2 Do not store sensitive authentication data subsequent to authorization (not even if encrypted):

A programmatic (automatic) process to remove, at least on a quarterly basis, stored cardholder data that exceeds business retention requirements. Alternatively, performance of an audit, at least on a quarterly basis, to verify that stored cardholder data does not exceed business retention requirements. 3.2 If sensitive authentication data is received and erased, obtain and review methodology for erasing the data to determine the data is unrecoverable. For each item of sensitive authentication data below, perform the following steps: 3.2.1 Do not store the full contents of any track 3.2.1 Examine the following from the sample from the magnetic stripe (on the back of the selected, and obtain evidence that the card, in a chip, etc.). contents of any track from the magnetic stripe on the back of the card (CVV data) is not stored under any circumstance: 3.2.2 Do not store the card-validation code [three-digit or four-digit value printed on the front or back of a payment card (e.g., CVV2 data or CVC2 data)]. Incoming transaction data Transaction logs History files

A10.9.2 A10.9.2

A10.9.1 A10.9.1 A10.9.1 A10.9.1 A10.9.1

A10.9.1 A10.9.1 A10.9.1 A10.9.1 A10.9.1 3.2.3 Do not store the PIN Verification Value (PVV). A10.9.2 A10.9.2 A10.9.2 A10.9.2 A10.9.2 3.3 Mask account numbers when displayed (the first six and last four digits are the maximum number of digits to be displayed). A10.9.2

Several database schemas 3.2.2 Examine the following from the sample selected and obtain evidence that three-digit or four-digit card-validation code printed on the signature panel (CVV2/CVC2 data) is not stored under any circumstance: Incoming transaction data Transaction logs History files

Several database schemas 3.2.3 Examine the following from the sample selected, and obtain evidence that the PIN Verification Value (PVV data) is not stored under any circumstance: Incoming transaction data Transaction logs History files

Several database schemas 3.3 Obtain and review written policies and review online displays of credit card data to determine that the credit card numbers are masked when displaying cardholder data, except for those with a specific need to see full credit card numbers.

A10.9.2

A10.9.2, A11.5.2, A11.5.3 A10.9.2, A11.5.2, A11.5.3 A10.9.2, A11.5.2, A11.5.3 A10.9.2, A11.5.2, A11.5.3 A10.9.2, A11.5.2, A11.5.3

Note that this does not apply to those employees and other parties with a specific need to see full credit card numbers. 3.4 Render sensitive cardholder data unreadable anywhere it is stored, (including data on portable media, in logs, and data received from or stored by wireless networks) by using any of the following approaches:

3.4.a Obtain documentation about the cryptographic system used to protect stored data, including the vendor, type of cryptographic system, and the encryption algorithms. Verify that data is rendered unreadable using one of the following algorithms: One-way hashes (hashed indexes) such One-way hashes (hashed indexes) as SHA-1 such as SHA-1 Truncation Truncation or masking

Index tokens and PADs, with the PADs being securely stored Strong cryptography, such as Triple-DES 128-bit or AES 256-bit with associated key management processes and procedures.

Index tokens and PADs, with the PADs being securely stored

A11.6.1

A11.6.1

A11.6.1

A11.6.1 A12.3.1, A12.3.2

A12.3.2

A12.3.1

A12.3.2

Strong cryptography, such as TripleDES 128-bit or AES 256-bit, with associated key management processes and procedures. 3.4.b Examine several tables from each database server in the sample of database machines to verify the data is encrypted (i.e., not stored in plain text). The MINIMUM account information that needs to 3.4.c Examine a sample of removable media be rendered unreadable is the payment card (e.g., backup tapes) to confirm that cardholder account number. data is encrypted. 3.4.d Examine a sample of audit logs to confirm that cardholder data is sanitized or removed from the logs. 3.4.e Verify that any cardholder data received from wireless networks is encrypted wherever stored. 3.5 Protect encryption keys against both 3.5 Verify processes to protect encryption keys disclosure and misuse: against disclosure and misuse by performing the following: 3.5.1 Restrict access to keys to the fewest 3.5.1 Examine user access lists to determine number of custodians necessary. that access to cryptographic keys is restricted to very few custodians. 3.5.2 Store keys securely in the fewest possible 3.5.2 Review system configuration files to locations and forms. determine that storage of cryptographic keys in encrypted format and storage of keyencrypting keys separately from dataencrypting keys. 3.6 Fully document and implement all key 3.6.a Verify the existence of key management management processes and procedures procedures. including:

A12.3.2

3.6.b For Service Providers only: If the Service Provider shares keys with their customers for transmission of cardholder data, verify that the Service Provider provides documentation to customers that includes guidance on how to securely store and change customers encryption keys (used to transmit data between customer and service provider). Examine the key management procedures and determine the procedures require the following: 3.6.1 Generation of strong keys. 3.6.2 Secure key distribution. 3.6.3 Secure key storage. 3.6.4 Periodic key changes. 3.6.5 Destruction of old keys. 3.6.6 Split knowledge and dual control of keys (so that it requires 2 or 3 people, each knowing only their part of the key, to reconstruct the whole key). 3.6.7 Prevention of unauthorized substitution of keys. 3.6.8 Replacement of known or suspected compromised keys. 3.6.9 Revocation of old or invalid keys (mainly for RSA keys). 3.6.10 Key custodians to sign a form specifying that they understand and accept their key-custodian responsibilities.

A12.3.2 A12.3.2 A12.3.2 A12.3.2 A12.3.2 A12.3.2 3.6.1 Generation of strong keys. 3.6.2 Secure key distribution. 3.6.3 Secure key storage. 3.6.4 Periodic key changes. 3.6.5 Destruction of old keys. 3.6.6 Split knowledge and dual control of keys (so that it requires 2 or 3 people, each knowing only their part of the key, to reconstruct the whole key). 3.6.7 Prevention of unauthorized substitution of keys. 3.6.8 Replacement of known or suspected compromised keys. 3.6.9 Revocation of old or invalid keys (mainly for RSA keys). 3.6.10 Requirement for key custodians to sign a form specifying that they understand and accept their key-custodian responsibilities.

A11.2.3, A12.3.1 A11.2.3, A12.3.1 A11.2.3, A12.3.1 A11.2.3, A12.3.1

A11.2.3, A12.3.1

Requirement 4: Encrypt transmission of cardholder and sensitive information across public ne

Sensitive information must be encrypted during transmission over the Internet, because it is easy and common fo

Requirements 4.1 Use strong cryptography and encryption techniques (at least 128 bit) such as Secure Sockets Layer (SSL), Point-to-Point Tunneling Protocol (PPTP), Internet Protocol Security (IPSEC) to safeguard sensitive cardholder data during transmission over public networks.

Testing Procedures 4.1.a Verify the use of encryption (e.g., SSL) wherever cardholder data is transmitted or received over the Internet by performing the following:

A12.3.1

A12.3.1

Verify that at least 128 bit encryption is used during data transmission. For SSL implementations, verify that HTTPS appears as a part of the browser Universal Record Locator (URL), and that no cardholder data was required when HTTPS did not appear in the URL.

A12.3.1

A12.3.1 A12.3.1

Select a sample of transactions as they are received and observe transactions as they occur to verify that cardholder data is encrypted during transit. Verify that only trusted SSL keys/certificates are accepted. 4.1.b Verify that, for the encryption methodology in use, the proper encryption strength is implemented. For example: 3DES 128 bits AES 256 bits RSA 1024 bits

A12.3.1 A12.3.1 A12.3.1 A12.3.1

A12.3.1 4.1.1 For wireless networks transmitting cardholder data, encrypt the transmissions by using Wi-Fi Protected Access (WPA) technology if WPA capable, or VPN or SSL at 128-bit. Never rely exclusively on WEP to protect confidentiality and access to a wireless LAN. Use one of the above methodologies in conjunction with WEP at 128 bit, and rotate shared WEP keys quarterly and whenever there are personnel changes.

Check vendor recommendations/best practices for other encryption methodologies. 4.1.1 For wireless networks transmitting cardholder data or connected to cardholder environments, verify that:

A12.3.1

A12.3.1

A12.3.1

A12.3.1

A12.3.1 A12.3.1, A12.3.2 A12.3.1, A12.3.2 4.2 Never send cardholder information via unencrypted e-mail.

Appropriate encryption methodologies are in use for any wireless transmissions, such as: VPN, SSL/TLS at 128 bit, WEP (Wired Equivalency Protocol) at 128 bits, and/or WPA. If WEP is used, verify processes are in place to rotate shared WEP keys at least quarterly and whenever key personnel leave. If WEP is used, verify that another methodology is in use, in addition to WEP, to protect the data. For automated key rotation processes, verify that keys change every 10-30 minutes. 4.2.a Observe that email encryption software exists on employees personal computers. 4.2.b Verify existence of a policy stating that cardholder data is not to be sent via unencrypted emails. 4.2.c Inquire of 3-5 employees to determine whether use of email encryption software is required for emails containing cardholder data.

A12.3.1, A12.3.2

Requirement 5: Use and regularly update anti-virus software.

Many vulnerabilities and malicious viruses enter the network via employees email activities. Anti-virus software m

Requirements

Testing Procedures

A10.4.1, A11.6.1

5.1 Deploy anti-virus mechanisms on all systems 5.1 For the sample of (insert number and/or commonly affected by viruses (e.g., PCs and description of sample) system components, servers). verify that anti-virus software is installed. 5.2 Ensure that all anti-virus mechanisms are current, and actively running, and capable of generating audit logs. 5.2 To verify that anti-virus software is current as of (insert as-of date) , actively running, and capable of generating logs, perform the following: Obtain and review the policy requiring updates to anti-virus software and definitions. Verify that the master installation of the software is enabled for automatic updates and periodic scans, and that the servers examined at 5.1 above have these features enabled. Verify that log generation is enabled and that the logs are being retained in accordance with the companys retention policy.

A10.4.1, A11.6.1 A10.4.1, A11.6.1

A10.4.1, A11.6.1

A10.4.1, A11.6.1

Requirement 6: Develop and Maintain Secure Systems and Applications.

Unscrupulous individuals use security vulnerabilities to gain privileged access to systems. Many of these vulnerab

Requirements

Testing Procedures

A12.6.1

6.1 Ensure that all system components and 6.1 Using the sample of (insert either number software have the latest vendor-supplied security or description of sample) system components patches. and software, compare the list of security patches installed on each system to the most recent vendor security patch list, to determine that current vendor patches are installed. 6.1.1 Examine policies related to security patch installation to determine they require installation of all relevant new security patches within 30 days. 6.2 Establish a process to identify newly 6.2 Inquire of those responsible for processes discovered security vulnerabilities (e.g., in place to identify new security vulnerabilities, subscribe to alert services freely available on the and verify that the process includes using Internet). Update your standards to address new outside sources for security vulnerability vulnerability issues. information and updating the system configuration standards reviewed in Requirement 2 as new vulnerability issues are found. 6.1.1 Install relevant security patches within one month of release.

A12.6.1

A12.6.1

A12.1.1

6.3 Develop software applications based on industry best practices and include information security throughout the software development life cycle. Include the following:

6.3 Obtain and review written software development processes to confirm they are based on industry standards and that security is included throughout the life cycle. From review of written software development processes, inquiry of software developers, and review of relevant data (network configuration documentation, production and test data, etc.), determine the following:

A12.1.1 A10.1.2, A10.3.2, A12.5.1

A10.1.4, A12.1.1

6.3.1 Testing of all security patches and system and software configuration changes before deployment. 6.3.2 Separate development/test and production environments.

6.3.1 All changes (including patches) are tested before being deployed into production. 6.3.2 The test/development environments are separate from the production environment, with access control in place to enforce the separation. 6.3.3 There is a separation of duties between those personnel assigned to the development/test environments and those assigned to the production environment. 6.3.4 Examine data used in the testing and development environments and verify that production data (real credit card numbers) is not used for testing and development purposes, or is sanitized before use. 6.3.5 Test data and accounts are removed before a production system becomes active.

A10.1.3, A10.1.4

6.3.3 Separation of duties between development/test and production environments. 6.3.4 Production data (real credit card numbers) are not used for testing or development.

A12.4.2 6.3.5 Removal of test data and accounts before production systems become active. 6.3.6 Removal of custom application accounts, usernames, and passwords before applications become active or are released to customers.

A12.4.2

A11.2.3

A10.1.4, A12.4.1 A10.1.4, A12.4.1

A12.5.1

6.3.6 Custom application accounts, usernames and/or passwords are removed before system goes into production or is released to customers. 6.3.7 Review of custom code prior to release to 6.3.7.a Obtain and review written policies to production or customers, to identify any confirm they dictate that code reviews are potential coding vulnerability. required and must be performed by individuals other then the originating author of the code. 6.3.7.b Confirm that code reviews are occurring for new code as well as after code changes. 6.4 Follow change control procedures for system 6.4 Obtain company change-control and software configuration changes. The procedures related to implementing security procedures should include: patches and software modifications, and determine the procedures require items 6.4.1 6.4.4 below.

A12.5.1 6.4.1 Documentation of impact. A10.1.2, A12.5.1 6.4.2 Management sign-off by appropriate parties. 6.4.3 Testing that verifies operational functionality. 6.4.4 Back-out procedures. A10.1.2 6.5 Develop web software and applications based on secure coding guidelines such as the Open Web Application Security Project guidelines. Review custom application code to identify coding vulnerabilities. See www.owasp.orgThe Ten Most Critical Web Application Security Vulnerabilities. Cover prevention of common coding vulnerabilities in software development processes, to include:

A10.3.2

A10.3.2

Select a sample of system components. Find the three most recent changes/security patches for each system component, and trace those changes back to related change control documentation. Determine that change control processes are implemented, as follows: 6.4.1.a Obtain evidence that documentation of customer impact is included in the change control documentation for each sampled change. 6.4.2 Obtain evidence that management signoff by appropriate parties is present for each sampled change. 6.4.3 Obtain evidence that testing that verifies operational functionality was performed for each sampled change. 6.4.4 Obtain evidence that back-out procedures are prepared for each sampled change. 6.5.a Obtain and examine software development processes for any web-based applications. Confirm the process requires training in secure coding techniques for developers, and is based on guidance such as the OWASP guidelines.

A12.5.1

A12.5.1

6.5.b For any web-based applications, inquire of a sample of (insert sample size) web developers and obtain evidence that they are knowledgeable in secure coding techniques. Alternatively, determine that periodic external code reviews or application penetration tests are performed based on OWASP guidelines, and that all coding vulnerabilities were corrected and re-evaluated. For any web-based applications, determine that processes are in place to determine that web applications are not vulnerable to the following: 6.5.1 Unvalidated input. 6.5.2 Malicious use of user IDs. 6.5.3 Malicious use of account credentials and session cookies. 6.5.4 Cross-site scripting.

A12.5.1

A12.5.1 A12.2.1. A15.2.2 A12.2.1. A15.2.2 A12.2.1. A15.2.2 A12.2.1. A15.2.2

6.5.1 Unvalidated input. 6.5.2 Broken access control (e.g., malicious use of user IDs). 6.5.3 Broken authentication and session management (use of account credentials and session cookies). 6.5.4 Cross-site scripting (XSS) attacks.

A12.2.1. A15.2.2 A12.2.1. A15.2.2 A12.2.1. A15.2.2 A12.2.1. A15.2.2 A12.2.1. A15.2.2 A12.2.1. A15.2.2

6.5.5 Buffer overflows. 6.5.6 Injection flaws (e.g., SQL injection). 6.5.7 Improper error handling. 6.5.8 Insecure storage. 6.5.9 Denial of service. 6.5.10 Insecure configuration management.

6.5.5 Buffer overflows due to unvalidated input and other causes. 6.5.6 SQL injection and other command injection flaws. 6.5.7 Error handling flaws. 6.5.8 Insecure storage. 6.5.9 Denial of service. 6.5.10 Insecure configuration management.

Requirement 7: Restrict access to data by business need-to-know.


This ensures critical data can only be accessed in an authorized manner.

Requirements 7.1 Limit access to computing resources and cardholder information to only those individuals whose job requires such access.

Testing Procedures 7.1 Obtain the written policy for data control, and determine that it includes the following: Access rights for privileged User IDs are restricted to least privileges necessary to perform the job. Assignment of privileges to individuals is based on job classification and function. Requirement for an authorization form that is signed by management and specifies required privileges. An automated access control system

A11.1.1

A11.1.1

A11.1.1

A11.1.1 A11.1.1 A11.1.1, A11.4.1, A11.5.1, A11.6.1 A11.1.1, A11.4.1, A11.5.1, A11.6.1 A11.1.1, A11.4.1, A11.5.1, A11.6.1 A11.1.1, A11.4.1, A11.5.1, A11.6.1

7.2 Establish a mechanism for systems with multiple users that restricts access based on a users need to know, and is set to deny all unless specifically allowed.

7.2 Examine system settings and vendor documentation to verify there is an access control system in place, and that it is implemented to include the following: Coverage of all system components.

Assignment of privileges to individuals based on job classification and function.

Deny-all setting by default (some access control systems are set by default to allow-all thereby allowing access unless/until a rule is written to specifically deny it).

Requirement 8: Assign a unique ID to each person with computer access.

This ensures that actions taken on critical data and systems are performed by, and can be traced to, known and a

Requirements 8.1 Identify all users with a unique username before allowing them to access system components or cardholder data. A11.5.2

Testing Procedures 8.1 For the sample of (insert number and/or description of sample) system components, review user ID listings and verify that all users have a unique username for access to system components or cardholder data.

A11.5.2 A11.5.2

8.2 Employ at least one of the methods below, in 8.2 To verify that users are authenticated addition to unique identification, to authenticate using unique ID and additional authentication all users: item (e.g., password) for access to the cardholder environment, perform the following: Password Obtain documentation describing the authentication method(s) used. For each type of authentication method used and once for each type of system component, observe an authentication to verify authentication is working according to documented authentication method(s). 8.3 To determine that two-factor authentication is in place for all remote network access, observe an employee (e.g., an administrator) while they connect remotely to the network, and verify that both a password and an additional authentication item (Smart card, token PIN, etc.) are required.

Token devices (i.e., SecurId, certificates, or public key)

A11.5.2 A11.5.2 Biometrics 8.3 Implement two-factor authentication for remote access to the network by employees, administrators, and third parties. Use technologies such as RADIUS or TACACS with tokens, or VPN with individual certificates.

A11.5.2 8.4 Encrypt all passwords during transmission and storage, on all system components. A11.5.1

A11.5.1

A11.5.1

A11.5.1 A11.5.1

8.4.a For selected system components in the cardholder environment, examine password files to verify that passwords are unreadable. Include password files for all system components 8.4.b For Service Providers only, observe password files to verify that customer passwords are encrypted. 8.5 Ensure proper user authentication and 8.5 Verify, via review of procedures and password management for non-consumer users discussions, that procedures exist for user and administrators, for all system components. authentication and password management, by performing the following: 8.5.1 Control the addition, deletion, and 8.5.1.a Select a sample of (insert number) modification of user IDs, credentials, and other user IDs, including both administrators and identifier objects. general users, from sampled system components. To verify that each user is authorized per company policy, perform the following: Obtain an authorization form for each ID.

A11.5.1

A11.5.1 8.5.2 Verify user identity before performing password resets.

Verify the IDs are implemented in accordance with the authorization form (e.g., with privileges as specified, all signatures obtained, etc.), by tracing information from the authorization form to the system. 8.5.1.b Determine that only administrators have access to management consoles for wireless networks. 8.5.2 Examine password procedures and observe security personnel to confirm thatif a user requests a password reset via phone, email, web, or other non-face-to-face methodthat users identity is verified before the password is reset. 8.5.3 Examine password procedures and observe security personnel to confirm that first-time passwords for new users are set to a unique value per user and changed after first use. 8.5.4 Select a sample of (insert number) employees terminated in the last 6 months, and review user access listings as of (insert as-of date) to verify their IDs have been inactivated or removed. 8.5.5 From the sample of user IDs selected above, verify there are no inactive accounts over 90 days old. 8.5.6 Verify that any accounts used by vendors to support and maintain system components are inactive, enabled only when needed by the vendor, and monitored while being used.. 8.5.7 From the sample of user IDs selected above, and inquire about their awareness of password procedures. 8.5.8.a For the sample of (insert number and/or description of sample) system components, review user ID listings and verify the following: Generic IDs and accounts are disabled or removed. Shared IDs for system administration activities and other critical functions do not exist. Shared and generic IDs are not used to administer wireless LANs and devices. 8.5.8.b Review password procedures to verify that group and shared passwords are explicitly prohibited.

A11.2.3 8.5.3 Set first-time passwords to a unique value per user and change immediately after first use A11.2.1, A11.2.3 8.5.4 Immediately revoke accesses of terminated users. A11.2.1, A11.2.3 8.5.5 Remove inactive user accounts at least every 90 days. 8.5.6 Enable accounts used by vendors for remote maintenance only during the time needed.

A11.2.4

A11.4.2, A11.4.4

A11.2.3

A11.1.1, A11.5.2 A11.1.1, A11.5.2 A11.1.1, A11.5.2 A11.1.1, A11.5.2 A11.1.1, A11.5.2

8.5.7 Distribute password procedures and policies to all users who have access to cardholder information. 8.5.8 Do not permit group, shared, or generic accounts/passwords.

A11.1.1, A11.5.2 8.5.9 Change user passwords at least every 90 days.

8.5.8.c Interview system administrators to verify that group and shared passwords are not given out even if requested. 8.5.9 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that user password parameters are set to require users to change passwords at least every 90 days For Service Providers only, verify via review of internal processes and customer/user documentation, that customer passwords are required to change periodically and that customers are given guidance as to when, and under what circumstances, passwords should change. 8.5.10 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that password parameters are set to require passwords to be at least seven characters long. For Service Providers only, verify via review of internal processes and customer/user documentation, that customer passwords are required to meet minimum length requirements. 8.5.11 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that passwords parameters are set to require passwords to contain both numeric and alphabetic characters. For Service Providers only, verify via review of internal processes and customer/user documentation, that customer passwords are required to contain both numeric and alphabetic characters. 8.5.12 Do not allow an individual to submit a new password that is the same as any of the last four passwords used. 8.5.12 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that password parameters are set to require that new passwords cannot be the same as the four previously used passwords.

A11.5.3

A11.5.3 8.5.10 Require a minimum password length of at least seven characters.

A11.5.3

A11.5.3 8.5.11 Use passwords containing both numeric and alphabetic characters.

A11.5.3

A11.5.3

A11.5.3

A11.5.3 8.5.13 Limit repeated access attempts by locking out the user ID after not more than six attempts.

A11.5.3

A11.5.3 8.5.14 Set the lockout duration to thirty minutes or until administrator enables the user ID.

For Service Providers only, verify via review of internal processes and customer/user documentation, that new customer passwords cannot be the same as the previous four passwords. 8.5.13 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that password parameters are set to require that a users account is locked out after not more than six invalid logon attempts. For Service Providers only, verify via review of internal processes and customer/user documentation, that customer accounts are temporarily locked-out after not more than six invalid access attempts. 8.5.14 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that password parameters are set to require that once a user account is locked out, it remains locked for thirty minutes or until a system administrator resets the account. 8.5.15 For the sample of (insert number and/or description of sample) system components, obtain and inspect system configuration settings as of (insert as-of date) to verify that system/session idle time out features have been set to 15 minutes. 8.5.16.a Review database configuration settings for a sample of (insert number) databases to verify that access is authenticated, including that for individuals, applications, and administrators. 8.5.16.b Review database configuration settings and database accounts to verify that direct SQL queries to the database are prohibited (there should be very few individual database login accounts, limited to database administrators).

A11.5.3 8.5.15 If a session has been idle for more than 15 minutes, require the user to re-enter the password to re-activate the terminal.

A11.5.5 8.5.16 Authenticate all access to any database containing cardholder information. This includes access by applications, administrators, and all other users. A11.6.1

A11.6.1

Requirement 9: Restrict physical access to cardholder data.

Any physical access to data or systems that house cardholder data allows the opportunity to access devices or d

Requirements

Testing Procedures

A9.1.2, A11.5.1 A9.1.2, A11.5.1

9.1 Use appropriate facility entry controls to limit 9.1 Verify the existence of the following and monitor physical access to systems that physical security controls for each computer store, process, or transmit cardholder data. room, data centre, and other physical areas with systems that contain cardholder data: Observe that access is controlled via badge readers and authorized badges, lock and key, etc. Have a system administrator attempt to log into consoles for three randomly selected systems in the cardholder environment and verify they are locked to prevent unauthorized use. 9.1.1 Use cameras to monitor sensitive areas. Audit this data and correlate with other entries. Store for at least three months, unless otherwise restricted by law. 9.1.1 Observe that video cameras are present to monitor the entry/exit points of data centres where cardholder data is stored or present. Video cameras should be internal to the data centre or otherwise protected from tampering or disabling. Determine that the cameras are monitored and that the data from the cameras is stored for at least three months. 9.1.2 Inquire of network administrators and also determine by observation that network jacks are only enabled when needed by authorized employees. For example, conference rooms used to host visitors should not have network ports enabled with DHCP. Alternatively, verify that visitors are escorted at all times in areas with active network jacks. 9.1.3 Verify that physical access to wireless access points, gateways, and handheld devices is appropriately restricted.

A9.1.2, A11.5.1

A9.1.2 9.1.2 Restrict physical access to publicly accessible network jacks.

A9.1.2, A9.1.3 9.1.3 Restrict physical access to wireless access points, gateways, and handheld devices.

A9.1.2, A9.1.3

A9.1.3, A9.1.5

A9.1.3, A9.1.5 A9.1.3, A9.1.5 A9.1.3, A9.1.5

9.2 Develop procedures to help all personnel 9.2.a Review processes for assigning badges easily distinguish between employees and to employees, contractors, and visitors, and visitors, especially in areas where cardholder verify these processes include: information is accessible. Employee refers to full-time and part-time Processes for granting new badges, employees, temporary employees/ personnel, changing access requirements, and and consultants who are resident on the revoking terminated employee and expired entitys site. A visitor is defined as a vendor, visitor badges. guest of an employee, service personnel, or anyone who needs to enter the facility for a short duration, usually not more than one day. Limited access to badge system.

9.2.b Observe people within the facility to determine that it is easy to distinguish between employees and visitors.

A9.1.3, A9.1.5

9.3 Make sure all visitors are: 9.3.1 Authorized before entering areas where cardholder data is processed or maintained.

A9.1.3, A9.1.5 9.3.2 Given a physical token (e.g., badge or access device) that expires, and that identifies them as non-employees.

9.3 Verify the following employee/visitor controls are present: 9.3.1 Observe visitors to verify the use of ID badges. Attempt to gain access to the data centre to verify that a visitor ID badge does not permit unescorted access to physical areas that store cardholder data. 9.3.2 Observe employee and visitor badges to verify that ID badges clearly distinguish employees from visitors/outsiders and that visitor badges expire. 9.3.3 Observe visitors leaving the facility to verify visitors are asked to surrender their ID badge upon departure or expiration date.

A9.1.3, A9.1.5

A9.1.2

9.3.3 Asked to surrender the physical token before leaving the facility or at the date of expiration.

A9.1.2

A9.1.4, A10.5.1

9.4 Use a visitor log to retain a physical audit trail 9.4 Verify that a visitor log is in use for physical of visitor activity. Retain this log for a minimum of access to the facility as well as for computer three months, unless otherwise restricted by law. rooms and data centres where cardholder data is stored or transmitted. Confirm the log contains the visitors name, the firm represented, and the employee authorizing physical access, and is retained for at least 3 months. 9.5 Store media back-ups in a secure off-site 9.5 Review policies and procedures for facility, which may be either an alternate thirdbackups and visit the off-site storage facility to party or a commercial storage facility. determine that backup media are stored in a physically secure, fireproof, offsite location. 9.6 Physically secure all paper and electronic media (e.g., computers, electronic media, networking and communications hardware, telecommunication lines, paper receipts, paper reports, and faxes) that contain cardholder information. 9.6 Obtain the policies and procedures for protecting all paper and electronic media that contains cardholder data. Verify that the process includes controls for paper and electronic media in computer rooms and data centres, as well as paper receipts, paper reports, faxes, CDs and disks in employee desks and open workspaces, and PC hard drives. 9.7 Maintain strict control over the internal or 9.7 Verify that a policy exists to control external distribution of any kind of media that distribution of cardholder information, covers contains cardholder information: all distributed media including that distributed to individuals, and that this policy requires the following: 9.7.1 Label the media so it can be identified as 9.7.1 All media should be labelled so that it confidential. can be identified as confidential. 9.7.2 Send the media via secured courier or a 9.7.2 All media sent outside the facility is delivery mechanism that can be accurately logged and authorized by management and tracked. sent via secured courier or other delivery mechanism that can be tracked. 9.8 Ensure management approves all media that 9.8 Select a recent sample of several days of is moved from a secured area (especially when offsite media tracking logs, and verify the media is distributed to individuals). presence in the logs of tracking details and proper management authorization.

A7.2.2

A7.2.2 A7.2.1, A7.2.2

A7.2.2, A10.7.1

A9.2.7

9.9 Maintain strict control over the storage and accessibility of media that contains cardholder information: A7.2.2 A7.1.1, A7.2.2 A7.1.1, A7.2.2 9.10 Destroy media containing cardholder information when it is no longer needed for business or legal reasons: 9.10.1 Cross-cut shred, incinerate, or pulp hardcopy materials A9.2.6 9.9.1 Properly inventory all media and make sure it is securely stored.

9.9 Obtain the policy for controlling storage and maintenance of hardcopy and electronic media, and verify this policy requires periodic media inventories. Verify related processes by performing the following: 9.9.1.a Obtain and review the media inventory log to verify that periodic media inventories are performed. 9.9.1.b Obtain and review processes in place to verify that media is securely stored. 9.10.a Obtain the periodic media destruction policy and verify it covers all media with cardholder data. 9.10.b Additionally perform the following: 9.10.1.a Verify that hard-copy materials are cross-cut shredded, incinerated, or pulped, in accordance with ISO 9564-1 or ISO 115683. 9.10.1.b Observe storage containers for information to be destroyed to verify that containers are secured. For example, verify that a to-be-shredded container has a lock preventing access to the contents. 9.10.2 Verify that electronic media is destroyed beyond recovery by using a military wipe program to delete files, or via degaussing or otherwise physically destroying the media.

A9.2.6 A9.2.6

A9.2.6 9.10.2 Purge, degauss, shred, or otherwise destroy electronic media so that cardholder data cannot be reconstructed. A9.2.6

Requirement 10: Track and monitor all access to network resources and cardholder data.

Logging mechanisms and the ability to track user activities are critical. The presence of logs in all environments a

Requirements 10.1 Establish a process for linking all access to system components (especially those with administrative privileges such as root) to an individual user. 10.2 Implement automated audit trails to reconstruct the following events, for all system components:

Testing Procedures 10.1 Verify, via observation and inquiry of the system administrator, that audit trails are enabled and active, including for any connected wireless networks. 10.2 Confirm though inquiry, review of audit logs, and review of audit log settings for (insert as-of dates) for the samples of (insert number and/or description of sample) system components, that the following events are logged: 10.2.1 Logging of access to cardholder data 10.2.2 Logging of actions taken by any individual with root or administrative privileges 10.2.3 Logging of access to all audit trails

A10.10.1

A10.10.1 A10.10.1 10.2.1 All individual accesses to cardholder data. 10.2.2 All actions taken by any individual with root or administrative privileges. 10.2.3 Access to all audit trails.

A10.10.4 A10.10.3

A10.10.1 A10.10.1 A10.10.1 A10.10.1

10.2.4 Invalid logical access attempts. 10.2 5 Use of identification and authentication mechanisms. 10.2.6 Initialization of the audit logs. 10.2.7 Creation and deletion of system-level objects. 10.3 Record at least the following audit trail entries for each event, for all system components: 10.3.1 User identification 10.3.2 Type of event 10.3.3 Date and time 10.3.4 Success or failure indication 10.3.5 Origination of event 10.3.6 Identity or name of affected data, system component, or resource 10.4 Synchronize all critical system clocks and times.

10.2.4 Logging of invalid logical access attempts 10.2.5 Logging of use of identification and authentication mechanisms 10.2.6 Logging of initialization of audit logs 10.2.7 Logging of creation and deletion of system level objects 10.3 Confirm through inquiry and observation, for each auditable event mentioned at 10.2 above, that the audit trail captures the following information: 10.3.1 User identification 10.3.2 Type of event 10.3.3 Date and time stamp 10.3.4 Success or failure indication, including those for wireless connections 10.3.5 Origination of event 10.3.6 Identity or name of affected data, system component, or resources 10.4 Obtain and review the process for getting and distributing the correct time within the organization. Also obtain and review related system parameter settings for the sample of (insert number and/or description of sample) system components. Verify the following is included in the process and implemented: NTP or similar technology is used for time synchronization. Two or three central time servers within the organization receive external time signals (directly from a special radio, GPS satellites, or other external sourcesbased on International Atomic Time and UTC (formerly GMT)), peer with each other to keep accurate time, and share the time with other internal servers (i.e., internal servers should not be all be receiving time signals from external sources). NTP is running the most recent version.

A10.10.1 A10.10.1 A10.10.1 A10.10.1 A10.10.1 A10.10.1 A10.10.1

A10.10.6 A10.10.6

A10.10.6 A10.10.6

A10.10.6 A10.10.6

Specific external hosts are designated from which the time servers will accept NTP time updates (to prevent an attacker from changing the clock). Optionally, those updates can be encrypted with a symmetric key, and access control lists can be created that specify the IP addresses of client machines that will be provided with the NTP service (to prevent unauthorized use of internal time servers). See www.ntp.org for more information 10.5 Secure audit trails so they cannot be altered 10.5 Verify the following via inquiry of the in any way, including the following: system administrator and review of file permissions: 10.5.1 Limit viewing of audit trails to those with 10.5.1 Only individuals who have a joba job-related need. related need can view audit trail files. 10.5.2 Protect audit trail files from unauthorized 10.5.2 Current audit trail files are protected modifications. from unauthorized modifications via access control mechanisms, physical segregation, and/or network segregation. 10.5.3 Promptly back up audit trail files to a centralized log server or media that is difficult to alter. 10.5.4 Copy logs for wireless networks onto a log server on the internal LAN. 10.5.5 Use file integrity monitoring/change detection software (such a Tripwire) on logs to ensure that existing log data cannot be changed without generating alerts (although new data being added should not cause an alert). 10.6 Review logs for all system components at least daily. Log reviews should include those servers that perform security functions like IDS and authentication (AAA) servers. 10.5.3 Current audit trail files are promptly backed up to a centralized log server or media that is difficult to alter. 10.5.4 Offload or copy logs for wireless networks onto a centralized internal log server or media that is difficult to alter. 10.5.5 Verify the use of file integrity monitoring or change detection software for logs by observing system settings and monitored files, as well as results from monitoring activities. 10.6.a Obtain security policies and procedures and determine that they include procedures to review security logs at least daily, and that follow-up to exceptions is required.

A10.10.3 A10.10.3

A10.10.3 A10.10.3, A10.5.1

A10.10.3

A10.10.3

A10.10.2

A10.10.2

A10.10.3, A15.1.3

10.6.b Through observation and interviews, determine that regular log reviews are performed for all system components. 10.7 Retain your audit trail history for a period 10.7.a Obtain security policies and procedures that is consistent with its effective use, as well as and determine that they include audit log legal regulations. retention policies and require audit log retention for at least one year. An audit history usually covers a period of at least one year, with a minimum of three months available online. 10.7.b For the sample of (insert number and/or description of sample) system components, verify that audit logs are available online or on tape for at least one year.

A10.10.3, A15.1.3

Requirement 11: Regularly test security systems and processes.

Vulnerabilities are continually being discovered by hackers/researchers and introduced by new software. System

Requirements 11.1 Test security controls, limitations, network connections, and restrictions routinely to make sure they can adequately identify or stop any unauthorized access attempts. Where wireless technology is deployed, use a wireless analyzer periodically to identify all wireless devices in use. A15.2.2

Testing Procedures 11.1.a Confirm through inquiry of security personnel that periodic security testing of the devices within the cardholder environment occurs.

A15.2.2

A15.2.2 11.2 Run internal and external network vulnerability scans at least quarterly and after any significant change in the network (e.g., new system component installations, changes in network topology, firewall rule modifications, product upgrades).

A15.2.2

A15.2.2 Note that external vulnerability scans must be performed by a scan vendor qualified by the payment card industry.

A15.2.2

11.1.b Verify that a wireless analyzer is used periodically to identify all wireless devices in use. 11.1.c For Service Providers only, examine relevant code, documentation, and processes to verify that velocity checks and other transaction trend data are monitored in realtime and collected to detect fraudulent transaction attempts. 11.2.a Inspect output from the most recent four quarters of network, host, and application vulnerability scans to verify that periodic security testing of the devices within the cardholder environment occurs. Confirm the scan process includes rescans until clean results are obtained. 11.2.b To verify that external scanning is occurring on a quarterly basis in accordance with the PCI Security Scanning Procedures, inspect output from the four most recent quarters of external vulnerability scans to verify the following: Four quarterly scans occurred in the most recent 12-month period. The results of each scan satisfy the PCI Security Scanning Procedures (e.g., no urgent, critical, or high vulnerabilities.

A15.2.2

A15.2.2

A15.2.2

The scans were completed by a vendor approved to perform the PCI Security Scanning Procedures. 11.3 Perform penetration testing on network 11.3 Obtain results from the most recent infrastructure and applications at least once a penetration test to verify that penetration year, and after any significant infrastructure or testing is performed at least annually and after application upgrade or modification (e.g., any significant changes to the environment. operating system upgrade, sub-network added to Confirm that any noted vulnerabilities were environment, web server added to environment). corrected.

A10.10.2, A10.10.4, A15.1.5

11.4 Use network intrusion detection systems, host-based intrusion detection systems, and/or intrusion prevention systems to monitor all network traffic and alert personnel to suspected compromises. Keep all intrusion detection and prevention engines up-to-date.

A11.6.1, A12.4.3, A15.1.5

11.4 Observe the use of network intrusion detection and/or prevention software on the network. Confirm IDS and/or IPS is in place to monitor and alert personnel of suspected compromises. Examine IDS/IPS configurations and confirm IDS/IPS devices are configured, maintained, and updated per vendor instructions to ensure optimal protection. 11.5 Deploy file integrity monitoring to alert 11.5 Verify the use of file integrity monitoring personnel to unauthorized modification of critical products by observing system settings and system or content files, and perform critical file monitored files, as well as reviewing results comparisons at least daily (or more frequently if from monitoring activities. the process can be automated). Critical files are not necessarily those containing cardholder data. For file integrity monitoring purposes, critical files are usually those that do not regularly change, but the modification of which could indicate a system compromise or risk of compromise. File integrity monitoring products usually come pre-configured with critical files for the related operating system. Other critical files, such as those for custom applications, must be evaluated and defined by the merchant or service provider.

A11.6.1, A12.4.3, A15.1.5

Requirement 12: Maintain a policy that addresses information security for employees and cont

A strong security policy sets the security tone for the whole company, and lets employees know what is expected

Requirements 12.1 Establish, publish, maintain, and disseminate a security policy that: A5.1.1 A5.1.1, A11.1.1, A11.4.1, A12.3.1

Testing Procedures 12.1 Read the information security policy, and verify the policy is published and disseminated to all relevant system users (including vendors, contractors, and business partners). Also verify that: 12.1.1 The policy addresses all requirements in this specification.

12.1.1 Addresses all requirements in this specification.

4.2.1d), A6.2.1

12.1.2 Includes an annual process that identifies threats, and vulnerabilities, and results in a formal risk assessment.

12.1.2 The information security policy includes an annual risk assessment process that identifies threats, vulnerabilities, and results in a formal risk assessment. 12.1.3 The information security policy is reviewed at least annually and updated as needed to reflect changes to business objectives or the risk environment.

12.1.3 Includes a review at least once a year and updates when the environment changes. 7.2

A10.1.1

A10.8.5 A6.1.4, A10.8.5 A10.8.5, A11.4.2 A7.1.1, A10.8.5 A7.1.2, A10.8.5 A7.1.3, A10.8.5 A11.1.1, A11.4.5 A12.5.4

12.2 Develop daily operational security 12.2.a Review the daily operational security procedures that are consistent with the procedures. Verify they are consistent with this requirements in this specification (e.g., user specification, and include administrative and account maintenance procedures, log review technical procedures for each of the procedures). requirements. 12.3 Develop usage policies for critical employee- 12.3 Obtain and examine the modem usage facing technologies, such as modems and policy and verify that it specifies and/or wireless, to define proper use of these requires: technologies for all employees and contractors. Ensure these usage policies require: 12.3.1 Explicit management approval 12.3.2 Authentication for use of the technology. 12.3.1 Explicit management approval to use the devices. 12.3.2 All device use is authenticated with username and password or other authentication item (e.g., token). 12.3.3 A list of all devices and personnel authorized to used the devices. 12.3.4 Labelling of devices with owner, contact information, and purpose. 12.3.5 Acceptable uses for the technology. 12.3.6 Acceptable network locations for the technology. 12.3.7 A list of company-approved products. 12.3.8 Automatic disconnect of modem sessions after a specific period of inactivity.

12.3.3 A list of all such devices and personnel with access. 12.3.4 Labelling of devices with owner, contact information, and purpose. 12.3.5 Acceptable uses of the technology. 12.3.6 Acceptable network locations for these technologies. 12.3.7 A list of company-approved products. 12.3.8 Automatic disconnect of modem sessions after a specific period of inactivity.

A11.5.6

A11.4.2

A11.6.1 A5.1.1, A6.2.3, A6.1.5

A6.1.3, A8.1.1

12.3.9 Activation of modems for vendors only 12.3.9 Activation of modems used by when needed by vendors, with immediate vendors only when needed by vendors, with deactivation after use. immediate deactivation after use. 12.3.10 When accessing cardholder data 12.3.10 Disabling storage of cardholder data remotely via modem, disable storage of onto local hard drives, floppy disks or other cardholder data onto local hard drives, floppy external media when accessing such data disks or other external media. Also disable cut- remotely via modem. Also disabling of cutand-paste, and print functions during remote and-paste, and print functions during remote access. access. 12.4 Ensure the security policy and procedures 12.4 Verify that information security policies clearly define information security responsibilities clearly define information security for all employees and contractors. responsibilities for both employees and contractors. 12.5 Assign to an individual or team the following 12.5 Verify the formal assignment of information security management information security to a Chief Security Officer responsibilities: or other security-knowledgeable member of management. Obtain information security policies and procedures to verify that the following information security responsibilities are specifically and formally assigned: 12.5.1 Establish, document, and distribute security policies and procedures. 12.5.1 Creating and distributing security policies and procedures is formally assigned.

A6.1.3

12.5.2 Monitor and analyze security alerts and information, and distribute to appropriate personnel. A6.2.3 A13.1.1, A13.2.2, A13.2.1 12.5.3 Establish, document, and distribute security incident response and escalation procedures to ensure timely and effective handling of all situations. 12.5.4 Administer user account and authentication management, including additions, deletions, and modifications. 12.5.5 Monitor and control all access to data. 12.6 Make all employees aware of the importance of cardholder information security: 12.6.1 Educate employees (e.g., through posters, letters, memos, meetings, and promotions). 12.6.2 Require employees to acknowledge in writing they have read and understood the companys security policy and procedures.

12.5.2 Monitoring and analyzing security alerts, and distributing information to appropriate information security and business unit management personnel is formally assigned. 12.5.3 Creating and distributing security incident response and escalation procedures is formally assigned. 12.5.4 Administering user account and authentication management is formally assigned. 12.5.5 Monitoring and controlling all access to data is formally assigned. 12.6 Obtain security awareness program documentation and verify that it contains the following components: 12.6.1 Multiple methods of communicating awareness and educating employees (posters, letters, meetings, etc.).

A11.2.3 A10.10.1, A11.6.1

A8.2.2

A8.2.2

A5.1.1, A8.2.1

A8.1.2

12.6.2 Requirement for employees to acknowledge in writing that they have read and understood the companys information security policy. 12.7 Screen potential employees to minimize the 12.7 Inquire of Human Resource department risk of attacks from internal sources. management and determine that there is a process in place to perform background checks on potential employees who will have access to systems, networks, or cardholder data. These background checks should include pre-employment, criminal, credit history, and reference checks. For those employees who only have access to one card number at a time to facilitate a transaction, such as store cashiers, this requirement is a recommendation only. 12.8 Contractually require all third parties with access to cardholder data to adhere to payment card industry security requirements. At a minimum, the agreement should address:

A8.1.2

A6.2.3

12.8 Obtain contracts between the organization and any third parties that handle cardholder data (e.g., backup tape storage facilities, managed service providers such as Web hosting companies or security service providers, or those that receive data for fraud modelling purposes). Verify that the PCI Data Security Standard requirements relevant to the business relationship between the organization and the third party are included in the contract. Specifically verify the following information is included in the contract:

A6.2.3

12.8.1 Acknowledgement that the third party is responsible for security of cardholder data in their possession. 12.8.2 Ownership by each Payment Card brand, Acquirer, and Merchants of cardholder data and acknowledgement that such data can ONLY be used for assisting these parties in completing a transaction, supporting a loyalty program, providing fraud control services, or for uses specifically required by law. 12.8.3 Business continuity in the event of a major disruption, disaster or failure.

12.8.1 Contract provisions include acknowledgement by the third party of their responsibility for securing cardholder data. 12.8.2 Contract provisions include ownership and acceptable uses of cardholder data.

A6.2.3

A6.2.3

A6.2.3 A6.2.3, A8.3.2

A13.2.1

A13.2.1, A14.1.3 A13.2.1, A14.1.3 A13.2.1, A14.1.3 A13.2.1, A14.1.3 A13.2.1, A14.1.3 A13.2.1, A14.1.3

12.8.4 Audit provisions that ensure that Payment Card Industry representative, or a Payment Card Industry approved third party, will be provided with full cooperation and access to conduct a thorough security review after a security intrusion. The review will validate compliance with Payment Card Industry Data Security Standards for protecting cardholder data. 12.8.5 Termination provision that ensures that 12.8.5 Contract provisions require continued third party will continue to treat cardholder data security of cardholder data during and after as confidential. contract terminations. 12.9 Implement an incident response plan. Be 12.9 Obtain the Incident Response Plan and prepared to respond immediately to a system related procedures, examine the documents breach. and perform the following: 12.9.1 Create an incident response plan to be 12.9.1 Verify that the Incident Response used in the event of system compromise. Plan and related procedures includes: Ensure the plan addresses, at a minimum, specific incident response procedures, business recovery and continuity procedures, data backup processes, roles and responsibilities, and communication and contact strategies (e.g., informing Acquirers and credit card associations).

12.8.3 Contract provisions include appropriate business continuity provided by the third party such that the third partys services will be available in the event of a major disruption or failure. 12.8.4 Contract provisions allow for audits by Visa or Visa-approved entities in the event of a cardholder data compromise.

Roles, responsibilities, and communication strategies in the event of a compromise. Coverage and responses for all critical system components. Notification, at a minimum, of credit card associations and Acquirers. Strategy for business continuity post compromise. Reference or inclusion of incident response procedures from card associations.

A13.2.1, A14.1.3 A14.1.5 12.9.2 Test the plan at least annually. 12.9.3 Designate specific personnel to be available on a 24/7 basis to respond to compromise alerts.

Analysis of legal requirements for reporting compromises (e.g., per California bill 1386, notification of affected consumers is a requirement in the event of an actual or suspected compromise, for any business with California residents in their database). 12.9.2 Testing of the plan at least annually. 12.9.3 Verify via observation and review of policies, that there is 24/7 incident response and monitoring coverage for any evidence of unauthorized activity, critical IDS alerts, and/or reports of unauthorized critical system or content file changes. 12.9.4 Verify via observation and review of policies, that staff with security breach responsibilities are periodically trained. 12.9.5 Verify via observation and review of processes, that monitoring and responding to alerts from security systems is included in the Incident Response Plan. 12.9.6 Verify via observation and review of policies that there is a process to modify and evolve the incident response plan according to lessons learned and to incorporate industry developments.

A13.2.1 12.9.4 Provide appropriate training to staff with security breach response responsibilities. 12.9.5 Include alerts from intrusion detection, intrusion prevention, and file integrity monitoring systems.

A8.2.2

A13.1.1, A13.2.1

12.9.6 Have a process to modify and evolve the incident response plan according to lessons learned and to incorporate industry developments. A13.2.2

In Place
Column4 Column5

Not in Place
Column6

Target Date/ Comments


Column7

network from outside, as well as traffic into more sensitive areas within a companys internal network. All systems need to be protected from Target Date/ Comments

In Place

In Place

Not in Place

rds and other security parameters.

other vendor default settings to compromise systems. These passwords and settings are well known in hacker communities and easily dete Target Date/ Not in Place Comments

In Place

ough all other protection mechanisms and gains access to encrypted data, they will not be able to read the data without further breaking the e Target Date/ Comments

In Place

In Place

Not in Place

mation across public networks.

se it is easy and common for a hacker to intercept and/or divert data while in transit Target Date/ Comments

In Place

In Place

Not in Place

vities. Anti-virus software must be used on all email systems and desktops to protect systems from malicious software. Target Date/ Comments

In Place

In Place

Not in Place

ms. Many of these vulnerabilities are fixed via vendor security patches, and all systems should have current software patches to protect aga Target Date/ Not in Place Comments

In Place

In Place

In Place

In Place

Not in Place

Target Date/ Comments

n be traced to, known and authorized users.

In Place

In Place

Not in Place

Target Date/ Comments

unity to access devices or data, and remove systems or hardcopies, and should be appropriately restricted. Target Date/ Comments

In Place

In Place

Not in Place

d cardholder data.

of logs in all environments allows thorough tracking and analysis when something does go wrong. Determining the cause of a compromise is Target Date/ Comments

In Place

In Place

Not in Place

d by new software. Systems, processes, and custom software should be tested frequently to ensure security is maintained over time and thr Target Date/ Comments

In Place

In Place

Not in Place

or employees and contractors.

ees know what is expected of them. All employees should be aware of the sensitivity of data and their responsibilities for protecting it. Target Date/ Not in Place Comments

In Place

In Place

ms need to be protected from unauthorized access from the Internet, whether for e-commerce, employees Internet-based access via deskto

r communities and easily determined via public information.

a without further breaking the encryption. This is an illustration of the defence in depth principle.

oftware patches to protect against exploitation by employees, external hackers, and viruses. For in-house developed applications, numerous

the cause of a compromise is very difficult without system activity logs.

maintained over time and through changes.

ibilities for protecting it.

ees Internet-based access via desktop browsers, or employees email access. Often, seemingly insignificant paths to and from the Internet c

se developed applications, numerous vulnerabilities can be avoided by using standard system development processes and secure coding tec

ficant paths to and from the Internet can provide unprotected pathways into key systems. Firewalls are a key protection mechanism for any c

ment processes and secure coding techniques.

a key protection mechanism for any computer network.