LISTE DE CONTRÔLE DE CONFORMITÉ

PCI DSS
Prêt pour un audit PCI DSS ? Nous sommes sûrs que vous avez déjà commencé à vous préparer,
mais il se peut que certains domaines nécessitent encore une attention particulière.

EXIGENCE 1 : INSTALLER ET GERER UNE CONFIGURATION DE

PARE-FEU POUR PROTEGER LES DONNEES DE TITULAIRES DE CARTE

Établir et mettre en œuvre des normes de configuration des pare-feu et des routeurs qui formalisent les tests à chaque
changement de configuration.
Identifier toutes les connexions entre l’environnement de données des titulaires de cartes et les autres réseaux (y compris les
réseaux sans fil) à l’aide de documents et de diagrammes.

Documenter la justification commerciale et les divers paramètres techniques pour chaque mise en œuvre.

Diagramme documentaire de tous les flux de données des titulaires de cartes entre les systèmes et les réseaux.

Révisez et documentez les ensembles de règles du pare-feu au moins tous les six mois.

Créez des configurations de pare-feu et de routeur qui limitent tout le trafic, entrant et sortant, des réseaux (y compris sans fil) et des
hôtes “non fiables”, et refusez spécifiquement tout autre trafic, à l’exception des protocoles nécessaires à l’environnement des données
des titulaires de cartes.

Interdire l’accès public direct entre Internet et tout composant du système dans l’environnement des données des titulaires de cartes.

Installez un logiciel de pare-feu personnel ou une fonctionnalité équivalente sur tous les appareils (y compris ceux appartenant à
l’entreprise et/ou aux employés) qui se connectent à l’Internet lorsqu’ils sont en dehors du réseau (par exemple, les ordinateurs
portables utilisés par les employés), et qui sont également utilisés pour accéder à l’environnement des données des titulaires de cartes.
LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

EXIGENCE 2 : NE PAS UTILISER LES MOTS DE PASSE SYSTEME

ET AUTRES PARAMETRES DE SECURITE PAR DEFAUT DEFINIS
PAR LE FOURNISSEUR

Modifiez TOUS les paramètres par défaut fournis par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles
avant d’installer un système sur le réseau. Cela inclut les dispositifs sans fil qui sont connectés à l’environnement des données
des titulaires de cartes ou qui sont utilisés pour transmettre ces données.
Élaborer des normes de configuration pour tous les composants du système qui tiennent compte de toutes les vulnérabilités de
sécurité connues et qui sont conformes aux définitions acceptées par l’industrie. Mettre à jour les normes de configuration du
système à mesure que de nouveaux problèmes de vulnérabilité sont identifiés.

En utilisant une cryptographie forte, cryptez tous les accès administratifs non-consoles.

Maintenir un inventaire des composants du système qui sont dans le champ d’application de la norme PCI DSS.

S’assurer que les politiques de sécurité et les procédures opérationnelles connexes sont documentées, utilisées et connues de
toutes les parties concernées.
Ceux qui sont des fournisseurs d’hébergement partagé doivent protéger l’environnement hébergé de chaque entité et les données
des titulaires de cartes.

EXIGENCE 3 : PROTEGER LES DONNEES DE TITULAIRES DE CARTE

Documentez votre politique de conservation des données pour le stockage des données des titulaires de cartes et la durée de
conservation jusqu’à ce qu’elle soit nécessaire à des fins commerciales, légales et/ou réglementaires.

Supprimez en toute sécurité les données stockées inutiles au moins une fois par trimestre.

Ne stockez pas les données d’authentification sensibles après autorisation (même si elles sont cryptées).

Rendre toutes les données d’authentification sensibles irrécupérables à la fin du processus d’autorisation. Les émetteurs et les
entités connexes peuvent stocker des données d’authentification sensibles s’il existe une justification commerciale et si les
données sont stockées de manière sécurisée.
Masquez le PAN lorsqu’il est affiché (les six premiers et les quatre derniers chiffres sont le nombre maximal de chiffres que vous
pouvez afficher), de sorte que seules les personnes autorisées ayant un besoin professionnel légitime puissent voir plus que les
six premiers/quatre derniers chiffres du PAN.
Rendre le PAN illisible partout où il est stocké (par exemple, sur les supports numériques portables, les supports de sauvegarde,
dans les journaux et les données reçues ou stockées par les réseaux sans fil). Utiliser des fonctions de hachage unidirectionnelles
puissantes pour l’ensemble du PAN, la troncature, des jetons d’indexation avec des tampons stockés en toute sécurité ou une
cryptographie puissante pour protéger le PAN.

2 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

Documenter et mettre en œuvre des procédures pour protéger toute clé utilisée pour le cryptage des données des titulaires de
cartes contre la divulgation et l’utilisation abusive.
Documenter et mettre en œuvre de manière complète les processus et procédures de gestion des clés pour les clés
cryptographiques utilisées pour le cryptage des données des titulaires de cartes.

EXIGENCE 4 : CRYPTER LA TRANSMISSION DES DONNEES DE

TITULAIRES DE CARTE SUR LES RESEAUX PUBLICS OUVERTS

Utiliser des protocoles de cryptographie et de sécurité puissants pour protéger les données sensibles des titulaires de cartes lors
de leur transmission sur des réseaux ouverts et publics (par exemple, Internet, technologies sans fil, technologies cellulaires,
GPRS, communications par satellite).
S’assurer que les réseaux sans fil qui transmettent les données des titulaires de cartes ou qui sont connectés à l’environnement
des données des titulaires de cartes utilisent les meilleures pratiques de l’industrie pour mettre en œuvre un cryptage fort pour
l’authentification et la transmission.
N’envoyez pas de PAN non protégés par les technologies de messagerie de l’utilisateur final (par exemple, courrier électronique,
messagerie instantanée, SMS, chat, etc.)

EXIGENCE 5 : PROTEGER TOUS LES SYSTEMES CONTRE LES

LOGICIELS MALVEILLANTS ET METTRE A JOUR REGULIEREMENT
LES LOGICIELS OU PROGRAMMES ANTI-VIRUS

Déployer un logiciel antivirus sur tous les systèmes couramment touchés par les logiciels malveillants (en particulier les
ordinateurs personnels et les serveurs).
Les systèmes qui ne sont pas couramment affectés par des logiciels malveillants, effectuer des évaluations périodiques pour évaluer
l’évolution des menaces de logiciels malveillants et confirmer si ces systèmes continuent à ne pas nécessiter de logiciel antivirus.
S’assurer que tous les mécanismes anti-virus sont maintenus à jour, effectuer des scans périodiques, générer des journaux d’audit,
qui sont conservés conformément à l’exigence 10.7 de PCI DSS.
Veillez à ce que les mécanismes antivirus fonctionnent activement et ne puissent pas être désactivés ou modifiés par les
utilisateurs, sauf autorisation spécifique de la direction au cas par cas pour une période limitée.

3 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

EXIGENCE 6 : DEVELOPPER ET MAINTENIR DES SYSTEMES ET DES

APPLICATIONS SECURISES

Établir un processus pour identifier les vulnérabilités de sécurité, en utilisant des sources extérieures réputées, et attribuer un
classement de risque (par exemple, “ élevé “, “ moyen “ ou “ faible “) aux vulnérabilités de sécurité nouvellement découvertes.
Protégez tous les composants et logiciels du système contre les vulnérabilités connues en installant les correctifs de sécurité
applicables fournis par le fournisseur.

Installez les correctifs de sécurité critiques dans le mois qui suit leur publication.

Développer des applications logicielles internes et externes, y compris un accès administratif aux applications basé sur le Web,
conformément à la norme PCI DSS et sur la base des meilleures pratiques du secteur.
Intégrer la sécurité des informations tout au long du cycle de vie du développement des logiciels. Cela s’applique à tous les
logiciels développés en interne ainsi qu’aux logiciels sur mesure ou personnalisés développés par un tiers.
Suivez les processus et procédures de contrôle des changements pour toutes les modifications apportées aux composants
du système. Toutes les exigences PCI DSS pertinentes doivent être mises en œuvre sur les systèmes et réseaux nouveaux ou
modifiés après des changements importants.
Prévenir les vulnérabilités de codage courantes dans les processus de développement de logiciels en formant les développeurs
aux techniques de codage sécurisé et en développant des applications basées sur des directives de codage sécurisé - y compris la
manière dont les données sensibles sont traitées en mémoire.
Veillez à ce que toutes les applications web accessibles au public soient protégées contre les attaques connues, soit en effectuant
une évaluation de la vulnérabilité des applications au moins une fois par an et après toute modification, soit en installant une solution
technique automatisée qui détecte et prévient les attaques basées sur le web (par exemple, un pare-feu pour applications web) devant
les applications web accessibles au public, afin de contrôler en permanence tout le trafic.

EXIGENCE 7 : RESTREINDRE L’ACCES AUX DONNEES DE TITULAIRES

DE CARTE AUX SEULS INDIVIDUS QUI DOIVENT LES CONNAITRE

Limitez l’accès aux composants du système et aux données des titulaires de cartes aux seules personnes dont le travail nécessite
un tel accès.
Mettez en place un ou plusieurs systèmes de contrôle d’accès pour les composants des systèmes qui limitent l’accès en fonction
du besoin de savoir de l’utilisateur et qui sont réglés pour “refuser tout” sauf autorisation spécifique.

4 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

EXIGENCE 8 : IDENTIFIER ET AUTHENTIFIER L’ACCES A TOUS LES

COMPOSANTS DE SYSTEME

Attribuez à tous les utilisateurs un nom d’utilisateur unique avant de les autoriser à accéder aux composants du système ou aux
données des titulaires de cartes.
Utilisez au moins l’un des éléments suivants pour authentifier tous les utilisateurs : quelque chose que vous connaissez, comme
un mot de passe ou une phrase de passe ; quelque chose que vous avez, comme un dispositif à jeton ou une carte à puce ; ou
quelque chose que vous êtes, comme un élément biométrique.
Utilisez des méthodes d’authentification forte et rendez tous les mots de passe/phrases de passe illisibles pendant la
transmission et le stockage en utilisant une cryptographie forte.
Sécuriser tous les accès administratifs individuels non-consoles et tous les accès à distance à l’environnement des données
des titulaires de cartes en utilisant une authentification multifactorielle. Cette exigence s’applique au personnel administratif
ayant un accès non consulaire au CDE depuis le réseau de l’entité, et à tous les accès distants au réseau (y compris pour les
utilisateurs, les administrateurs et les tiers) provenant de l’extérieur du réseau de l’entité.
N’utilisez pas d’identifiants de groupe, partagés ou génériques, ni d’autres méthodes d’authentification. Les fournisseurs de
services ayant accès aux environnements des clients doivent utiliser un justificatif d’authentification unique (tel qu’un mot de
passe/phrase de passe) pour chaque environnement client.

Les jetons de sécurité physique, les cartes à puce et les certificats côté client doivent être attribués à un compte individuel.

L’accès à toute base de données contenant des données sur les titulaires de cartes doit être restreint : tous les accès des
utilisateurs doivent se faire par des méthodes programmatiques ; seuls les administrateurs de la base de données peuvent avoir
un accès direct ou par requête ; et les identifiants des applications de la base de données ne peuvent être utilisés que par les
applications (et non par des utilisateurs ou des processus non liés aux applications).

EXIGENCE 9 : RESTREINDRE L’ACCES PHYSIQUE AUX DONNEES DE

TITULAIRES DE CARTE

Limiter et surveiller l’accès physique aux systèmes dans l’environnement des données des titulaires de cartes en mettant en
œuvre un système de vidéosurveillance/de contrôle d’accès physique.
Mettez en place des procédures permettant de distinguer facilement le personnel sur place des visiteurs, par exemple en
attribuant des badges d’identification.

Restreindre l’accès physique du personnel sur site aux zones sensibles en fonction des personnes autorisées et de la fonction exercée.

L’accès doit être révoqué immédiatement après la cessation d’activité, et tous les mécanismes d’accès physique, tels que les clés,
les cartes d’accès, etc. doivent être rendus ou désactivés.
Veillez à ce que tous les visiteurs soient autorisés avant d’entrer dans les zones où les données des titulaires de cartes sont traitées
ou conservées, qu’ils reçoivent un badge physique ou une autre identification qui expire et qui identifie les visiteurs comme n’étant pas
du personnel sur place, et qu’ils soient invités à remettre le badge physique avant de quitter l’installation ou à la date d’expiration.
Utilisez un registre des visiteurs pour conserver une piste d’audit physique des informations et des activités des visiteurs, y
compris le nom du visiteur, la société et le personnel sur site autorisant l’accès physique. Conservez le registre pendant au moins
trois mois, sauf si la loi en dispose autrement.

5 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

Sécuriser physiquement tous les supports.

Stockez les sauvegardes des médias dans un endroit sûr, de préférence hors site.

Maintenir un contrôle strict sur la distribution interne ou externe de tout type de média.

Maintenir un contrôle strict sur le stockage et l’accessibilité des médias.

Détruire les supports lorsqu’ils ne sont plus nécessaires pour des raisons commerciales ou juridiques.

Protégez les dispositifs qui capturent les données des cartes de paiement par une interaction physique directe avec la carte
contre la falsification et la substitution. Il faut notamment inspecter périodiquement les surfaces des terminaux de paiement pour
détecter les manipulations et former le personnel pour qu’il soit conscient des activités suspectes.

EXIGENCE 10 : EFFECTUER LE SUIVI ET SURVEILLER TOUS LES ACCES

AUX RESSOURCES RESEAU ET AUX DONNEES DE TITULAIRES DE CARTE

Mettre en place des pistes d’audit automatisées pour relier tous les accès aux composants du système à chaque utilisateur
individuel afin de reconstituer ces événements :

Tous les accès des utilisateurs individuels aux données des titulaires de cartes.

Toutes les actions prises par une personne ayant des privilèges de racine ou d’administration.

Accès à toutes les pistes d’audit.

Tentatives d’accès logique invalides.

Utilisation et modification des mécanismes d’identification et d’authentification.

Tous les changements, ajouts, suppressions de comptes avec des privilèges de racine ou d’administration.

Initialisation, arrêt ou mise en pause des journaux d’audit.

Création et suppression d’objets de niveau système.

6 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

Les entrées de la piste d’audit pour tous les composants du système pour chaque événement doivent enregistrer au minimum :

Identification de l’utilisateur.

Type d’événement.

Date et heure.

Indication de réussite ou d’échec.

Origine de l’événement.

dentité ou nom des données, du composant du système ou de la ressource affectés.

À l’aide de la technologie de synchronisation du temps, synchroniser toutes les horloges et heures des systèmes critiques et
mettre en place des contrôles pour l’acquisition, la distribution et le stockage du temps.

Sécurisez les pistes d’audit afin qu’elles ne puissent pas être modifiées.

Examinez les journaux et les événements de sécurité de tous les composants du système pour identifier les anomalies ou les
activités suspectes.

Effectuez des examens critiques des journaux au moins une fois par jour.

Conservez l’historique de la piste d’audit pendant au moins un an ; au moins trois mois d’historique doivent être immédiatement
disponibles pour analyse.

Les prestataires de services doivent mettre en œuvre un processus de détection et de signalement en temps utile des
défaillances des systèmes de contrôle de sécurité essentiels.

EXIGENCE 11 : TESTER REGULIEREMENT LES PROCESSUS ET LES

SYSTEMES DE SECURITE

Détecter et identifier tous les points d’accès sans fil autorisés et non autorisés sur une base trimestrielle.

Maintenir un inventaire des points d’accès sans fil autorisés et mettre en œuvre des procédures de réponse aux incidents en cas
de détection de points d’accès sans fil non autorisés.

Exécutez des analyses de la vulnérabilité des réseaux internes et externes au moins une fois par trimestre et après toute
modification importante du réseau.

Corriger les vulnérabilités et effectuer de nouveaux scans si nécessaire, jusqu’à ce que les scans soient réussis.

Créer et mettre en œuvre une méthodologie pour les tests d’intrusion qui comprend des tests d’intrusion externes et internes
au moins une fois par an et après toute mise à niveau ou modification importante.

7 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

Si la segmentation est utilisée pour réduire la portée de la norme PCI DSS, effectuez des tests d’intrusion (au moins une fois
par an pour les non fournisseurs de services et au moins six mois pour les fournisseurs de services) pour vérifier que les
méthodes de segmentation sont opérationnelles et efficaces.

Mettre en œuvre des techniques de détection des intrusions dans le réseau et/ou de prévention des intrusions pour détecter et/
ou empêcher les intrusions dans le réseau. Surveiller tout le trafic au périmètre de l’environnement des données des titulaires de
cartes ainsi qu’aux points critiques à l’intérieur de l’environnement des données des titulaires de cartes, et alerter le personnel en
cas de suspicion de compromission. Les moteurs IDS/IPS, les lignes de base et les signatures doivent être maintenus à jour.

Déployez un mécanisme de détection des modifications (par exemple, des outils de surveillance de l’intégrité des fichiers)
pour alerter le personnel en cas de modification non autorisée (y compris les changements, les ajouts et les suppressions)
de fichiers système, de fichiers de configuration ou de fichiers de contenu critiques.

Configurez le logiciel pour qu’il effectue des comparaisons de fichiers critiques au moins une fois par semaine.

EXIGENCE 12 : GERER UNE POLITIQUE DE SECURITE DES

INFORMATIONS POUR L’ENSEMBLE DU PERSONNEL

Établir, publier, maintenir et diffuser une politique de sécurité ; revoir la politique de sécurité au moins une fois par an et la mettre à
jour lorsque l’environnement change.

Mettre en place un processus d’évaluation des risques, réalisé au moins une fois par an et lors de changements significatifs de
l’environnement, qui identifie les actifs critiques, les menaces et les vulnérabilités, et qui aboutit à une évaluation formelle.

Élaborer des politiques d’utilisation des technologies critiques pour définir leur utilisation correcte par l’ensemble du personnel.
Il s’agit notamment de l’accès à distance, du sans fil, des supports électroniques amovibles, des ordinateurs portables, des
tablettes, des appareils de poche, de la messagerie électronique et d’Internet.

Veillez à ce que la politique et les procédures de sécurité définissent clairement les responsabilités en matière de sécurité des
informations pour l’ensemble du personnel. Les fournisseurs de services doivent également établir la responsabilité de leur direction
en ce qui concerne la protection des données des titulaires de cartes et un programme de conformité à la norme PCI DSS.

Attribuer à un individu ou à une équipe les responsabilités en matière de sécurité de l’information définies par les sous-sections 12.5.

Mettre en place un programme formel de sensibilisation à la sécurité afin de faire connaître à l’ensemble du personnel la politique et
les procédures de sécurité des données des titulaires de cartes.

Passez en revue le personnel potentiel avant de l’embaucher afin de minimiser le risque d’attaques provenant de sources internes. Il
s’agit par exemple de vérifier les antécédents professionnels, le casier judiciaire, les antécédents de crédit et les références.

Maintenir et mettre en œuvre des politiques et des procédures pour gérer les fournisseurs de services avec lesquels les
données des titulaires de cartes sont partagées, ou qui pourraient affecter la sécurité des données des titulaires de cartes.

Les fournisseurs de services reconnaissent par écrit aux clients qu’ils sont responsables de la sécurité des données des titulaires
de cartes qu’ils possèdent ou stockent, traitent ou transmettent au nom du client, ou dans la mesure où ils pourraient avoir un
impact sur la sécurité de l’environnement des données des titulaires de cartes du client.

8 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

LISTE DE CONTRÔLE DE CONFORMITÉ PCI DSS

Mettez en œuvre un plan de réponse aux incidents. Soyez prêt à réagir immédiatement à une violation du système.

Les fournisseurs de services doivent effectuer et documenter des examens au moins trimestriels pour confirmer que le personnel
suit les politiques de sécurité et les procédures opérationnelles.

S’assurer que les politiques de sécurité et les procédures opérationnelles connexes sont documentées, utilisées et connues de
toutes les parties concernées.

SUR CONTROLCASE
ControlCase est un fournisseur mondial de services de certification, de cybersécurité et de conformité continue. ControlCase
s’engage à permettre aux organisations de développer et de déployer des programmes stratégiques de sécurité des informations et
de conformité qui sont simplifiés, rentables et complets dans les environnements sur site et dans le cloud. ControlCase propose des
certifications et un large éventail de services de cybersécurité qui répondent aux besoins des entreprises devant se certifier PCI DSS,
HITRUST, SOC 2 Type II, ISO 27001, PCI PIN, PCI P2PE, PCI TSP, PCI SSF, CSA STAR, HIPAA, RGPD, SWIFT et FedRAMP.

9 www.controlcase.com Copyright ©. ControlCase, Tous droits réservés.

 www.controlcase.com

USA & Canada: +1-703-483-6383 | India: +91-22-50323006

12015 Lee Jackson Memorial Hwy, Suite 520, Fairfax, VA 22033

Copyright ©. ControlCase, All rights reserved.