Transcription
1. 1 - Introduction: Bonjour, bonjour à tous. m'appelle femoris et je suis
le créateur de ce cours, discours de
bienvenue
qui s'appelle les bases
PCI DSS à maîtriser. Maintenant, le PCI DSS, c'est l'un des sujets
les plus et ce
depuis une quinzaine d'années, je crois. Et il restera
à faire chaud honnêtement, tant que
les transactions de paiement se poursuivront. Donc, si vous souhaitez
en savoir plus sur la norme PCI DSS
à partir de zéro, ce cours est
certainement pour vous Si vous êtes déjà
un expert, je veux dire, vous avez une certaine expérience
dans la mise en œuvre de PCI DSS, alors c'est toujours
pour ce cours, je le recommanderais toujours car sera un excellent récapitulatif pour vous simplement
passer en revue certains
des concepts de base et d'obtenir des conseils pratiques. Je
couvrirai également les nouvelles mises
à jour de la norme qui se trouve
dans la version 4 de la norme PCI DSS. Et honnêtement, peu importe l'évolution de la technologie, données des
titulaires
de carte restent l'un
des types de données les plus importants et il faudra
toujours les protéger. Donc, que vous soyez
une petite startup, que vous
soyez un Fortune 500, honnêtement, la norme s'applique
généralement à vous. Ce cours. Je l'ai spécialement
conçu pour aider les gens maîtriser
la norme PCI DSS à partir de zéro, d'accord ? Vous n'avez pas besoin d'
être un expert en transactions
par carte de crédit ou le secteur des paiements,
ni même un expert en informatique. Ok. Il est basé sur ma propre expérience
de neuf ou dix
ans mise
en œuvre de PCI DSS. Je l'ai mis en œuvre
dans
plusieurs normes dans plusieurs zones géographiques. Je connais la norme
à fond dans le cours. Cela vous permettra de comprendre et maîtriser la norme PCI, DSS. Et il vous donne toutes
les connaissances dont vous avez besoin pour l'implémenter honnêtement dans n'
importe quel environnement. Et j'essaie de vous
donner des conseils pratiques. Je ne veux pas t'ennuyer et faire en sorte que ce soit comme une mort
par PowerPoint. Mais je suis juste en train de lire une
diapositive et vous êtes juste comme, je vais essayer de vous
donner un, rendre cela aussi pratique que possible. Quelles sont les principales choses
que vous devez savoir ? Quelles sont les
erreurs que les gens font si géniales, Commençons. Juste un
bref aperçu de moi, les gars ne savent pas qui vous
enseigne ce cours. Je m'appelle Dan Voltage Law. Ok. J'ai occupé divers postes
de
direction au cours des 20 dernières années, principalement au Moyen-Orient. Ok. Je vais donc totaliser environ 20
ans et le risque technologique. J'ai été chargé de superviser mise en
œuvre de la
norme PCI DSS trois ou quatre
sites pendant plus de neuf ans. J'ai donc une
expérience très diversifiée et PCI, DSS. Ok. Je suis actuellement
basé à Londres. Je suis auteur. Oui, j'aime aussi bloguer et je suis également professeur et instructeur,
ce que vous pouvez voir ici. Je suis également coach de
carrière en cybersécurité. J'essaie généralement d'aider les gens
s'ils veulent réussir. Et vraiment ce qu'il a appelé, Allez-y et
améliorera leur carrière en
cybersécurité. J'ai une
chaîne YouTube appelée Cloud is cloud security guy, que vous pouvez consulter. Et je parle généralement questions relatives
à
la sécurité dans le cloud, à intelligence
artificielle et aux conseils en matière de cybersécurité
sexospécifique. Hormis la cybersécurité, mon parcours a connu
des hauts et des bas. J'ai remporté de nombreux prix
dans le secteur et je me suis établi au Moyen-Orient
depuis de nombreuses années. J'ai également écrit un livre sur gouvernance de l'intelligence
artificielle dans le domaine de la cybersécurité. Et j'ai prévu deux autres
livres cette année. J'ai trouvé que c'était un sujet qui n'était pas
suffisamment couvert. J'ai donc pensé
faire ma part pour sensibiliser autant que possible mon argent à l'industrie. J'ai reçu un visa de talent mondial pour le
Royaume-Uni. Et j'aide également les personnes qui
demandent l'approbation de
technicien britannique. J'ai essayé de les aider dans leurs applications
autant que je le pouvais. Ce n'est donc qu'un
récapitulatif de qui je suis. Ce que je fais, c'est de comprendre
qui enseigne dans ce cours. While et PCI, les gars de DSS. Quelle en est la raison ? Pourquoi devriez-vous, si vous
suivez ce cours, évidemment,
avoir une raison. Cela fait peut-être partie de votre travail. Ou peut-être que votre entreprise
a décidé de le mettre en œuvre en tant
qu' exigence réglementaire
lorsque vous n'avez pas le choix Tout ce que vous pourriez être condamné à une amende si
vous ne le mettez pas tout en œuvre. Ou peut-être qu'une entreprise dit simplement que c'
est une bonne norme à mettre en œuvre,
que c'est une bonne pratique. Alors allons-y et
mettons en œuvre l'une des raisons, d'accord. Mes gars, VR, ce qu'il a appelé le « Moving to
a cashless society », non ? Les transactions par carte sont plus en plus courantes. Il peut s'agir de
terminaux de point de vente, de caisses
enregistreuses, de smartphones, tout est alimenté par
des transactions sans espèces. Et protéger ces transactions
est très important. Si vous voulez avoir l'impression que
si les clients pensent qu'ils
ne peuvent pas protéger leurs données, ils
traiteront avec vous, ce qui détruira
votre entreprise. Je veux dire, si vous êtes un commerçant
ou un fournisseur de services, n'est-ce pas ? Et les gens ne veulent pas
faire de transactions avec vous, c'est devenu un gros problème. C'est là que la norme PCI DSS
entre en jeu et qu'elle s'applique comme une norme commune dans le monde entier pour la protection
des données des titulaires de carte. Cette norme, elle
restera applicable tant
que vous appellerez les personnes qui
font des transactions, d'accord ? Et ce sera très important
dans un avenir proche. C'est une bonne chose d'avoir sur votre CV, c'est une
expérience formidable à avoir. De plus, selon l'industrie,
il se peut que vous n'ayez pas le choix. Vous devez être conforme si vous stockez, transmettez ou traitez des
données de titulaire de carte, ce que nous verrons. Mais ce sont, comme je l'ai dit,
de bonnes
raisons de savoir comment implémenter
une norme PCI DSS, ce qui est l'une des raisons pour lesquelles
j'ai suivi ce cours. Que couvrira ce cours ? Et j'espère que vous comprenez maintenant pourquoi vous devriez
noter PCI, DSS, d'accord ? Qu'en est-il de ce cours ? Ou
qu'est-ce que cela va t'apprendre ? Il va tout d'abord
vous apprendre PCI DSS à partir de zéro. Je ne vais pas lire le standard de la première page
jusqu'à la fin. Ok. Personne ne veut ça. Honnêtement, si vous voulez que je
lise point par point, ce n'est pas le cours pour vous. Je vais vous faire comprendre l'intention de
toutes les exigences. Quelles sont les
étapes pratiques pour y parvenir ? Vous n'avez pas besoin de
mémoriser le standard. Beaucoup de personnes ont commencé à
faire cette erreur. Ok. Ce que je vais faire, c'est
expliquer comment fonctionne
la norme et quelles sont
les meilleures méthodes de mise en œuvre. Je vais m'attarder
sur ces 12 exigences, les normes, et nous
allons les examiner en détail. Ok ? Je vais te donner des conseils
pratiques, d'accord ? En fait, des conseils basés sur des implémentations
réelles
que j'ai faites. Enfin, la norme
est en cours de révision, d'accord ? Les dernières mises à jour pour PCI, DSS pour les points, quels sont les principaux changements dont vous
devez être conscient ? Quelles sont les choses auxquelles vous
devriez être prêt, peu importe ce que vous pensez
devoir commencer à faire maintenant. Parce que les deux
mille vingt-quatre
vingt-cinq sont très proches. Ça a l'air loin mais ça
va venir. Et vous pourriez avoir besoin de
faire certaines choses, alors je veux m'assurer que
vous êtes prêt pour cela. Ok. À qui s'adresse ce cours ? Que vous soyez un
nouvel employé dont connaissances actuelles
sont limitées
ou un administrateur
système expérimenté. Ce cours
va vous aider, vous et
votre organisation, à vous
conformer aux normes PCI,
DSS ou aux commentaires. Je l'ai fait, j'ai conçu ce cours comme un guide de
référence, abordant les aspects les plus
difficiles de la conformité PCI et DSS. Donc, selon votre
parcours, votre rôle, l'organisation
quitte certaines sections peuvent être
plus pertinentes que d'autres, d'accord. Vous pouvez donc être un
auditeur informatique qui va
auditer son environnement
par rapport à la norme PCI DSS. Vous pouvez être comme, je ne
sais pas, un QSEN ISAF, personnes qui se
préparent aux examens pour PCI, DSS, vous vous y
préparez peut-être. Et cet exemple vous donne
quelques informations intéressantes à ce sujet. Il y a de bonnes questions de
test, des conseils
pratiques,
tout va bien. Vous êtes peut-être un professionnel de la
gestion des risques. Et qui veut
comprendre la norme, comment elle, quels sont les risques ? Quelles sont les choses que
nous devons mettre en œuvre, d'accord ? Ou vous êtes peut-être un professionnel
des affaires. Votre entreprise peut être
soulignée pour PCI, DSS, et vous souhaitez comprendre
comment les mettre en œuvre. Ce sont donc toutes
les choses qui étaient les personnes auxquelles la norme
pouvait s'appliquer. Comme un projet de classe guide des informations que vous n'
appliquez pas , vous
allez les oublier. Ok ? C'est ce que j'ai
vécu tout au long de ma vie. Si vous ne mettez pas en œuvre ce que vous apprenez, vous
allez l'oublier. Donc, à la fin de ce cours, je veux que vous remplissiez une ville ou nous allons
entrer dans les détails sur SAQ pour un commerçant physique ou
un commerçant en ligne. Il suffit donc de penser à un
hypothétique marchand. Ils acceptent les transactions
par carte. Est-ce qu'ils font du commerce électronique ? Et je veux que vous remplissiez et SEQ pour cela ne vous aide pas
vraiment à le
verrouiller et à vraiment vous faire comprendre comment fonctionne la norme
PCI DSS. J'espère donc vous avoir enthousiasmé pour ce cours et quelles sont les choses que je vais
vous apprendre ? Et comment allez-vous en
apprendre davantage sur la norme PCI DSS ? Commençons, les gars. Merci beaucoup d'
avoir suivi ce cours. Et je vous verrai
dans la section suivante.
2. 2 - Aperçu du DSS PCI: Ok les gars, Bienvenue, Bienvenue dans le premier
module de ce cours, qui est PCI, DSS, et aperçu de la norme. Mais tout d'abord, je
veux vous apprendre ce que norme PCI DSS est susceptible ou
ne voulez pas vous lancer dans
la mise en œuvre des normes
et exigences PCI DSS, n'est-ce pas ? Vous ne comprenez pas
ce que nous entendons des idées, c'est comme ça que ça fonctionne. Quel est l'intérêt de
cette norme, n'est-ce pas ? Nous avons déjà
tellement de normes. Par un de plus. Découvrons-en plus sur la norme PCI DSS. À partir de zéro, je
recommanderais d'adopter ce modèle même si vous avez déjà de l'expérience dans la
mise en œuvre de la norme PCI DSS, car vous aurez
une bonne vue d'ensemble et un historique de la norme. Et je vais vous montrer comment la norme est
structurée et certaines des erreurs courantes que j'ai
vues faire depuis
environ dix ans de mise en œuvre de la norme PCI DSS, d'accord ? Ok. Tout d'abord, la norme PCI DSS, d'accord. Elle a été créée en 2006 ou huit par les principales marques de
cartes, Visa ,
MasterCard, American
Express, Discovery ,
JCB, toutes.
Pourquoi l'ont-ils fait ? En termes simples, historiquement,
qu' arrivait-il avec tous
ces jeux de couleurs ? Ils avaient leurs propres normes, ils avaient leurs propres
programmes, donc la conformité. Supposons que vous soyez
un marchand, non ? Nous voulons embaucher, vous voulez
accepter les cartes Visa, d'accord ? Visa avait sa propre
norme que vous devez respecter avant
de pouvoir le faire, puis Mastercard
ne le fait que si vous souhaitez
accepter MasterCard. Et simplement avec Amazon, encore une fois avec American Express,
je fais un geste. Vous pouvez donc comprendre que
c' est devenu un gros problème pour les commerçants et les fournisseurs de services. La quantité de temps et argent mis en œuvre
différentes normes. Ok ? Ce qui s'est passé, c'est que toutes les
normes se sont réunies et qu'ils vont établir une norme commune. Et cette norme sera applicable
aux personnes impliquées
dans le secteur des paiements. Cela a éliminé la
nécessité de
respecter chaque
promesse séparément, d'accord ? C'est ainsi que, si vous souhaitez
stocker, traiter, transmettre ces données, vous devez mettre en œuvre
la norme pour les protéger. Sur la base de milliers
et de milliers d' enquêtes sur des marchands
qui ont été victimes d'une infraction. Ce qui a été confirmé,
que s'ils avaient mis en œuvre correctement
distendu. Ok. Comment appelle-t-on qu'ils ont
mis en œuvre correctement centré. Cela
réduirait considérablement le risque qu'ils soient attaqués
ou compromis. Ok, donc la norme
est très utile. Est-ce que cela vous rend 100% sûr ? Non, absolument pas. Mais c'est un très bon
point de départ. Ok ? Alors, à qui cela s'applique-t-il ? Souvenez-vous essentiellement de ce stockage, traitement ou transmission de
toute entreprise qui stocke, traite ou transmet des données de carte de
paiement, vous êtes tenu de mettre
en œuvre la norme pour empêcher les
données des titulaires de carte, OK ? Vous pouvez être un commerçant, un fournisseur de services, une banque, un centre d'appels. Nous pouvons être une entreprise technologique. Peu importe si tu
fais ces trois choses. une ou l'autre des trois choses que
nous allons aborder. quantité que vous devez mettre en œuvre, c'est là que la
différence se produit. Mais soyez assuré que vous
entrerez dans le champ d'application. Ok. Alors pourquoi ? Vous pourriez vous demander pourquoi, d'accord. Je suis déjà en sécurité. J'ai mis en place des contrôles
et tout ça, etc. Pourquoi
dois-je appliquer la norme ? Ok. Quel est le besoin
de la norme ? En termes simples, comme si l'
on se basait sur le vieux truc selon les criminels vont là où
l'argent est bon ? Pareil. À l'ère numérique, les commerçants sont devenus des fournisseurs
de services, il devient une nouvelle cible
pour les activités frauduleuses. Ok ? Il se peut que ce soit votre caisse enregistreuse, votre point de vente
principal. Il peut s'agir d'un panier d'achat, d'un réseau Wi-Fi. Il peut s'agir des PC ou des
postes de travail dont vous disposez. Ok ? C'est devenu un sérieux
problème parce que les attaquants savent que même une de ces choses
peut être compromise. Je pourrais avoir accès à ces données. Je pourrais peut-être
commettre une fraude avec ça. C'est pourquoi il est essentiel comprendre ces
vulnérabilités. Ils peuvent se produire n'importe où dans l'écosystème de traitement des cartes. Comme je l'ai dit, cela peut
se produire dans les appareils mobiles, points de vente,
les points d'accès sans fil où les applications d'
achat peuvent être transmises
et peuvent aller, ce n'est peut-être pas dans la ville sèche de Miami, il peut s'agir d'un fournisseur
de services. Cela se trouve peut-être dans votre environnement
Cloud. OK, c'est pourquoi le PCI DSS entre en jeu et vous aide vraiment
à sécuriser cet environnement, vous fait
vraiment comprendre
ce que je dois faire. Qu'est-ce que je n'ai pas à faire ? Une autre
activité de due diligence que je dois mettre en œuvre. Ok ? Donc, il y a
absolument 0 quand il a appelé désavantage dans la
mise en œuvre de cette norme. Ok. C'est pourquoi toute technologie,
toute entreprise qui était, qui traite et impliquait des transactions de
paiement, je recommande toujours de mettre
en œuvre une norme PCI DSS. Ok. La chronologie de
la norme a donc parcouru un
long, très long chemin, honnêtement. Et pourquoi il a été tellement
révisé parce que
c'est un document évolutif. Il a évolué pour
suivre l'évolution du
commerce électronique et des cybermenaces les plus
sophistiquées. Et honnêtement, comme les technologies ont
évolué il y a 10 à 15 ans, le Cloud n'était pas si important. Les transactions
sur smartphone ne se produisaient pas
autant qu' elles le faisaient
, mais pas tant que ça. Ok. Des attaques pour différents utilisateurs qui
n'avaient pas de conteneurs similaires dans Cloud et Sowell étant donné que toutes
ces choses se sont produites, c'est pourquoi la norme
ne cesse de changer. Nous n'avons pas besoin d'aimer ça. Vous n'avez pas besoin de
mémoriser l'histoire et c'est juste
pour votre référence. Mais sachez simplement qu'il a subi
diverses itérations pour se tenir à jour
avec les technologies. En 2022, la version
4 a été publiée. Ok ? Et juste pour vous faire comprendre, en 2022, il est apparu, n'est-ce pas ? De plus, elle s'est étendue à l'AMF, l'authentification
multifacteur ou leurs rôles et
responsabilités. Et de nombreuses nouvelles
exigences sont
apparues jusqu'en mars 2024. ce moment-là, la
PCA, l'ancienne version, qui est 3.20.1, sera retirée et
complètement remplacée par 4. Vous avez donc un
peu de temps. Et d'ici mars 2025, les nouvelles exigences entreront
officiellement en vigueur. Quelques commentaires facultatifs, d'accord. Celles-ci sont basées
sur les projections du Conseil des
normes de sécurité de la CPA, l'organisme qui maintient
la norme. Ils peuvent être sujets à
changement, mais la chronologie. C'est pourquoi je continue de
recommander ça. Si vous êtes dans le champ d'application de la norme PCI, commencez dès aujourd'hui à examiner les
4 exigences. Ne le remettez pas à plus tard. Ok, c'était donc un
aperçu de base de la norme. Dans le module suivant,
je vais
passer en revue l'architecture vésiculaire, comment la norme est structurée, comment elle fonctionne et
comment elle est structurée. Merci les gars, et à
bientôt dans le prochain module.
3. 2 - Structure standard: Bon les gars, alors
bienvenue dans ce module qui traite de la structure PCI DSS, fonctionnement de la norme. En termes simples, c'est très simple. Il compte six écoles
et 12 exigences. Les gens se concentrent généralement davantage sur les 12 ou les commentaires
de un à k, nous devons l'implémenter pour
devenir conforme à la norme PCI DSS. Vous êtes peut-être dans la portée de
certains que je remarque pour les pères. Mais c'est essentiellement
ainsi que la norme a été structurée
est assez simple. Ce n'est pas si compliqué. Donc, les objectifs, ce sont des exigences
communes, honnêtement, certains d'entre eux que vous
pourriez regarder et dire, Hey ,
ok, toutes ces
choses que je fais déjà. Mais c'est là tout le but. Parce que ce qui peut vous sembler
logique peut ne pas l'être pour
d'autres environnements tels que d'autres fournisseurs de
services marchands, ils peuvent dire : « Bon,
je n'ai pas besoin d'
implémenter un pare-feu, je
ne J'ai besoin de le faire. C'est ce que dit mon mandat. Quelles sont donc les six catégories
de base ? Il s'agit généralement de
maintenir et de créer un réseau sécurisé pour
les pare-feu ou autres appareils. Vous devez
protéger les
données des titulaires de carte quel que soit l'endroit où elles sont stockées. Vous devez disposer d'un programme
de gestion des vulnérabilités afin garantir la sécurité
de vos systèmes. OK. Des problèmes surgissent,
tu es au courant ? Nous devrions avoir des mesures de contrôle
d'accès solides qu'elles
soient physiques ou logiques. Vous devriez
surveiller régulièrement votre réseau, d'accord ? Ne présumez pas que votre
réseau est sécurisé. s'est peut-être passé quelque chose. Bien entendu, du point de vue de la
diligence raisonnable, vous devez avoir un haut
niveau de gouvernance par le biais de politiques et de chartes, en vous assurant que la
formation est
là, que les personnes sont conscientes
de leurs exigences. OK. Ce sont donc les objectifs. Les objectifs et
les exigences vont passer revue chacun de ces éléments
en détail, les gars. Mais juste pour vous donner un niveau
élevé d'exigence matière de maintenance d'un pare-feu, vous devez avoir une standardisation. Vous devriez protéger les données des
titulaires les sécurisant
sur le réseau, les protégeant contre Albert, en
mettant à jour vos systèmes. Ce sont les six premiers. Les six prochaines, nous
restreignons l'accès, ce
soit logiquement ou physiquement, ayant des identifiants uniques, d'accord. Aucun partage de mot de passe, s'il vous plaît Avoir la sécurité physique,
journaliser et surveiller ce
qui se passe en faisant VN, VN PT, d'accord. Et documentez et
évaluez les risques qui se présentent. Donc c'étaient les 12
ou les gars des commentaires. Cela peut sembler trop. Ok, 12 heures qui
va mémoriser ça ? Cela m'amène donc à
quelques-unes des erreurs courantes que les
gens commettent lorsqu'ils
mettent en œuvre les exigences. Et je veux m'
assurer que tu ne feras pas le même billet pour moi. Ensuite,
souvent, certaines des erreurs
les plus courantes sont qu'ils
essaient de mémoriser le standard. OK. Il n'est pas nécessaire de mémoriser la norme et les exigences
du tronc. Personne ne fait ça. Tu n'es pas obligée de faire ça. Vous pouvez simplement comprendre l'intention de la fonctionnalité
Commentaire, d'accord ? Et puis quand
vous pouvez l'implémenter, tant que vous
comprenez ce qu'ils sont essentiellement des commentaires, vous pouvez avoir beaucoup de
va-et-vient avec l'auditeur PCI et
vous pouvez satisfaire, regardez, Je suis en train d'implémenter la norme, peut-être que XYZ n'est pas implémenté, mais vous avez fait autre chose. Nous examinons cela en détail. Cela m'amène
à mon point suivant, qui est une autre erreur commise
par les gens est de ne pas s'engager avec
le QSR plus tôt. Si vous avez un auditeur
PCI disponible, vous devriez engager avec lui
dès le début. Dites-leur que je ne fais pas
ça pour qu'ils soient au courant. Peut-être que si vous
faites des erreurs, vous pouvez les rattraper
dès le début. OK. L'audit ne
traite pas cela comme si
vous essayiez de cacher
des choses à l'auditeur
engagé avec eux tout de suite. J'espère donc que vous avez compris comment
la norme est structurée. Quels sont les objectifs clés,
les exigences clés et les erreurs
que
vous devez éviter. Donc dans le prochain module, nous allons commencer
le processus, d'accord ? Le PCI, DSS aussi en tant que processus, n'est pas que vous pouvez
simplement commencer à mettre en œuvre les 12
exigences de toute façon. Il y a un
processus standard que nous devons suivre et nous allons l'étudier en
profondeur. Si vous comprenez que le processus
PCI DSS va devenir, je peux vous promettre qu'il
deviendra plus facile. Bon, les gars, passons
au module suivant. Merci.
4. 3 - Processus DSS PCI ( Fondation ): Bonjour à tous, Bienvenue dans
ce module qui
traite de PCI DSS, de la
compréhension du processus. Une chose que je tiens à mentionner, c'est que beaucoup de
personnes commettent des erreurs. Beaucoup d'entreprises
commettent l'erreur avoir décidé de mettre
en œuvre la norme PCI DSS, ce qu'elles font c'est de sauter, télécharger la
norme et commencer à la
mettre en œuvre,
n'est-ce pas ? Ils disent : « OK, je dois activer l' authentification
multifacteur. Je dois renforcer mon serveur, je dois patcher XYZ, etc. Ce n'est pas comme ça que vous
voulez démarrer PCI DSS. C'est
vous mettre en place. Si vous souhaitez être conforme à la norme PCI DSS, il existe un
processus structuré à suivre. Vous ne pouvez pas simplement
commencer à mettre en œuvre les exigences immédiatement. Ça ne marchera pas. Vous perdrez
beaucoup de temps et serez Willis le Lewis,
beaucoup d'argent également. Voyons donc quelle est la
meilleure façon de mettre en œuvre PCI,
DSS et environnement ? Il y a deux phases. L'une est fondamentale, l'autre est
la phase de mise en œuvre. Si vous travaillez dur pendant la phase de base,
la phase de mise en œuvre
deviendra beaucoup, beaucoup plus facile. La phase de mise en œuvre,
mais prend généralement plus de temps, mais elle est beaucoup plus facile car nous avons une direction
ferme. Ok, quelles sont les étapes ? Les étapes clés à suivre pour implémenter avec succès la norme PCI
DSS dans votre environnement. Bon, commençons.
Dans ce module, je vais passer en revue
les éléments fondamentaux. Première étape, la plus importante, et parfois elle
est ratée. Rassembler, gérer, soutenir
la gestion. Vous avez besoin d'un support de gestion pour votre PCI DSS soit efficace. Pci DSS, veuillez
le noter très attentivement. Il ne s'agit pas d'un projet informatique. Il traite des
personnes, des processus, des technologies
opérationnelles qui doivent être testés et protégés. Ce n'est pas le cas, c'est un projet, mais ce n'est pas un projet informatique. Dans de nombreuses entreprises,
ce qu'elles font, c'est donner aux équipes informatiques les moyens d'aller de l'
avant et de le mettre en œuvre. Tu peux le faire, mais
que va-t-il se passer ? Ce sera soit un échec, soit
ce sera une activité ponctuelle. Vous serez conforme
pendant la première année, deuxième année, le service informatique sera
occupé par d'autres choses. J'ai tout oublié. Vous avez donc perdu
votre temps et votre argent. Vous devez d'abord changer
de culture, nous avons besoin d'un sponsor
au niveau de la direction, préférence le PDG ou le PDG ou quelqu'un
pourrait avoir la syllabe. Vous avez besoin que ce type envoie
un message clair à l'
ensemble de l'organisation. Pci, DSS est une priorité
et nous allons l' implémenter et
nominer des unités de formule XYZ. Ils approuveront le budget parce que cela va vous
coûter cher, vous devez
mettre en œuvre des choses. Ne présumez pas que
tout sera gratuit, mais le soutien de la direction
garantit que votre personnel,
tout le monde, comprend
l'importance de cela. Et tu te faciliteras
considérablement la vie plus tard. Pour les grandes entreprises, si vous souhaitez bénéficier d'une conformité continue aux
normes PCI et DSS,
elles ont besoin d'une
culture de collaboration, de
communication et d'engagement très forte de la
part de la direction exécutive. Merci de ne pas coller cette étape. Désignez un
sponsor exécutif qui approuvera le
budget et qui le fera, à qui vous enverrez les mises à jour de
votre projet. Salut les gars, c'est le
statut de la PCI DSS. Faites-en un projet, mais n'en faites pas un projet informatique. Vous pouvez le gérer depuis
votre service des risques, quel que soit votre département. Mais n'en faites pas un projet
informatique et
assurez-vous d'avoir un
support de gestion, d'accord ? OK. Deuxième étape. Quelle est la deuxième étape de
la phase de fondation ? Il s'agit de comprendre
vos responsabilités, mais qu'êtes-vous ? Êtes-vous un commerçant,
votre fournisseur de services, UI ou une banque ? OK. Parce que vous avez des processus,
des technologies et
des objets
différents , d'accord ? Vous serez intéressé, je suis sûr que vous saurez que vous
êtes en PCI, DSS cope ou pas. Mais vous devez découvrir quel type d'activité vous exercez. Est-ce que le commerce électronique est un point de vente, est-ce de
l'externalisation ? Donc, d'habitude, je
recommande de faire appel à votre carrière. Il peut s'agir d'une banque, d'un système de cartes comme Visa, MasterCard et demandez-leur, je fais XYZ, que
dois-je faire pour
devenir conforme à la norme PCI DSS ? Pourquoi est-ce que je dis ça ? Parce que le Conseil de la PCA,
disaient-ils là-bas, a mis en place le Conseil des
normes PCR en blanc, mais chaque paiement neuf Visa, MasterCard, ils ont leur propre carte. Celles-ci sont en train de le valider. Vous devez donc contacter les marques de paiement ou la banque
acquéreuse. OK. Cela vous donnera une idée claire ce qu'il a appelé un ton pour
quoi ? Tu dois le faire. Un audit complet, vous devez
remplir un questionnaire, soumettre une analyse Esri, ces choses que vous pouvez découvrir sur leurs sites Web ou vous
pouvez les contacter eux-mêmes. Je recommanderais de faire les deux pour s'assurer qu'
il n'y a pas d'ambiguïté. Et plus tard, vous n'êtes pas
surpris par une utilisation comme une comète qui surgit soudainement et dont vous ne vous rendez pas compte. OK. C'est donc le numéro deux. Quel est le numéro
tiers ? Troisième partie. Vous avez donc contacté la banque
de paiement ou l'acquéreur. Vous découvrez maintenant quelle est
votre obligation de conformité. S'agit-il d'un
questionnaire d'auto-évaluation ou d'un audit complet ? Désolé. Cq. Le premier, SAQ, est comme une validation du questionnaire
Lisa. Ce que tu dois faire c'est
le remplir toi-même. Tu n'as pas à demander à
quelqu' un d'autre de le faire. Tu
peux le faire toi-même. OK. Si vous n'êtes pas tenu de
faire un audit complet, vous pouvez simplement remplir un SAQ. Il s'agit d'une série de questions par oui ou par
non pour chaque
PCI, DSS ou commentaire, il
vous suffit de le remplir 111, nous le signons, puis vous le
soumettez sous forme de données. C'est l'un des moyens les plus faciles
de transmettre un audit PC. OK. C'est donc exactement ce que
cela signifie. Il s'agit d'un
questionnaire d'auto-évaluation. Vous pouvez le remplir vous-même
et il indiquera en gros que
c' est ma position actuelle en
matière de conformité. Personne ne va le vérifier. Que votre travail et vous
devez être véridiques,
s'il vous plaît, ne prenez pas
cela trop de temps. Vous devez être honnête,
mais personne ne va le
vérifier, c'est vraiment vous pouvez
demander à votre équipe d'audit de s'enregistrer. C'est la première partie. Ou vous pouvez être soumis
à un audit complet, c'
est-à-dire que le paiement
Granville a demandé conformité
importante et également une attestation de conformité, qui est un EOC qui est
essentiellement un audit complet. Vous devrez contacter
votre dissertation Q. Vous devrez vous engager
avec l'entreprise, ce qui est comme tous les États-Unis et le Royaume-Uni en
discuteront plus tard. Ils font appel à un évaluateur
de sécurité qualifié. OK. En gros, ils ont fait l'
objet d'un audit PCI DSS. Ils procéderont à un audit complet. Ils viendront évaluer votre
environnement et vous diront : « D'accord, c'est satisfaisant et vous
donneront un rapport indiquant que automobile civile
complète soumise à votre
bande de paiement à votre banque. OK. Mais celui-ci
est plus difficile, mais je recommande généralement de faire l'audit complet juste pour s'assurer qu'il est toujours préférable de faire venir
un tiers pour le vérifier. Ok ? Voici donc les deux obligations de
conformité que vous pourriez avoir. OK. Maintenant que nous avons compris que, accord, je dois être
conforme à la PCA. Et maintenant, qu'est-ce que je fais ? Une étape très, très clé qui
est, s'il vous plaît, ne sautez pas. Il s'agit de définir le champ d'application. De nombreuses organisations
ont de l'amidon. Ils ont posé cette
question, d'accord, où dois-je mettre en œuvre les idées PCA Si j'ai 12
succursales dans, je ne sais pas, 50 pays et 5
000 employés doivent empêcher les PC ID et
chacun des eux ? Non. Donc, comme je l'ai dit, votre champ d'application se situe essentiellement partout où
il stocke, traite et transmet l'environnement des données des
titulaires de carte. C'est très difficile de mettre
en œuvre PCI, DSS. De nombreuses organisations qui ont des difficultés à
déterminer quels systèmes sont une idée de portée des
NPC
et lesquels
ne déterminer quels systèmes sont le sont pas. OK. Pour cela, je recommanderais le document
de jeu de données. J'essaierai d'y toucher si je le
peux, c'est ce qu'on appelle le PCI, DSS scoping et le supplément de
segmentation Netflix. OK. Je crois qu'il est sorti en mai 2017. Cela vous donne vraiment des conseils pour identifier quels
systèmes doivent être inclus dans le champ d'application, quels systèmes ne le sont pas, et comment vous pouvez réellement réduire votre portée grâce à la segmentation. Les gars très importants, vous devez comprendre votre environnement
commercial, en particulier la façon dont les systèmes
interagissent avec les données des
titulaires de carte. Les données des titulaires de carte sont
stockées et nous allons nous occuper de cela. Mais vous devez vraiment vous
asseoir avec votre entreprise. Ne vous contentez pas de vous asseoir avec les
informaticiens, de vous asseoir avec votre entreprise, car l'
ensemble du flux de données des titulaires de carte, vous devez mettre en œuvre vos
contrôles en plus de cela. Et ce sont les personnes, les processus et les
technologies sur lesquels les exigences de la 12e PCI
seront mises en œuvre. Ok, alors quoi, quel
conseil à la scoping est un sujet
très important va
me prendre du temps là-dessus. Qu'est-ce qui entre dans le champ d'application PCS ? Vous devez d'abord répertorier, répertorier et confirmer tous les systèmes
connectés qui traitent,
stockent ou transmettent les données des
titulaires de carte. OK. Il y a quelques conseils le
don du conseil met simplement, tout système qui stocke traite les données
transmises par les titulaires de carte ou les données sensibles, ou tout système qui se trouve sur
le même réseau les possède. C'est assez simple. Je pense que c'est assez
logique, non ? Et qu'est-ce qui va bien, en
dehors de cela, tous les systèmes qui
les fournissent, qui sont connectés à eux,
ou leur fournissent de la sécurité. OK. Alors qu'est-ce que ça peut être ? Bon, un système peut être
directement connecté à votre caudale et ramifié via la connectivité
réseau interne. Ou il peut être connecté
indirectement, comme une connexion à un
serveur de saut. Ou cela peut avoir un impact sur la sécurité de votre environnement
cardinal. Peut-être s'agit-il d'un
serveur Web, d'un serveur DNS ou peut-être d'un serveur qui
fournit de la sécurité, comme l'époxy de
filtrage du trafic réseau. Peut-être qu'il distribue des
correctifs, une authentification unique ou peut-être qu'il s'agit d'un
pare-feu qui sépare l'environnement
en ligne
de votre carte des autres environnements. OK. Vos pare-feu sont
configurés pour bloquer feux de
signalisation qui
entreront dans le champ d'application. Ou il prend en charge
PCI, DSS ou les commentaires, peut-être le serveur de temps,
votre solution SIM. Ok ? Donc, regardez ce diagramme. Ça t'aidera
à le découvrir, d'accord ? Et bien sûr, vous pouvez
comprendre que cela semble correct, genre de chose
gérée,
beaucoup de système, la portée. Comment raccourcir la
portée de la norme PCI DSS ? D'accord, il y a certaines choses que vous pouvez
faire pour réduire la portée de la norme PCI DSS
dans votre environnement. Et le plus important,
c'est la segmentation. Sans segmentation, votre réseau devient
comme un réseau plat. Qu'est-ce que ça veut dire ? Cela signifie que tout se trouve
sur le même réseau. OK. Votre environnement caudal,
vos systèmes de sécurité, votre carte de pelouse, des systèmes plus anciens
qui n'ont rien à voir. Mais vous êtes des données de titulaires de carte. Ils font tous partie
du même réseau. Et ce qui se passe, c'est que si
l'un des systèmes est compromis, il se peut que votre ordinateur portable soit compromis pour la connexion
à Internet. Désormais, l'attaquant peut
simplement sauter de ce serveur vers votre environnement
caudal. Sans cela, à cause
de cet aplatissement, tout sera dans la portée. C'est pourquoi vous devez
segmenter votre réseau. Et cela empêche le système hors
du champ d'application. Vous allez donc séparer
votre environnement non
lié au titulaire de carte
de votre environnement de titulaire
de carte, d'accord ? Et cela
empêche ces systèmes de
communiquer entre eux. Et même si cet
environnement non causal est compromis, parce qu'il ne sera pas aussi sécurisé, cela n'aura aucun impact sur l'environnement de votre
titulaire de carte, d'accord ? Même si un attaquant
pénètre dans ce document, n'a
pas accès à l'environnement du
titulaire de la carte. Ok ? C'est pourquoi il difficile pour l'attaquant de
migrer depuis le
point d'entrée. Peut-être que c'était comme un ordinateur portable ou station de travail pour d'autres systèmes. OK. Donc, généralement, les gens utilisent des pare-feu
pour la segmentation ou vous pouvez créer des zones
au sein de vos fibres. Et voyons
comment cela se passe. Il suffit donc d'une simple
intégrale en bleu. C'est à quoi ressemble un réseau
de vols typique , les gars. Cela a l'air très institut. Vous avez votre réseau, n'est-ce pas ? Les serveurs, vos
Midas, Heterolytic, vos ordinateurs de bureau, vos machines
de point de vente. Ils se sont tous connectés à un pare-feu sur le même pare-feu et ils se sont connectés
à Internet. Vous pouvez donc voir que c'est comme un cauchemar
qui attend d'arriver. L'un d'eux se fait prendre comme une
plage par un assaillant. Il peut accéder à peu près à
tout ce que vous pouvez sauter de là à l'environnement du
titulaire de carte. Ce n'est pas comme ça qu'il faut procéder. Alors qu'est-ce qu'on a à faire, les gars ? Nous créons ce qu'on appelle
un réseau segmenté. Nous créons donc un segment dans les
zones vertes, à l'intérieur du pare-feu. Et nous le divisons en réseaux
plus petits comme réseau
Cardano comme un réseau de garde ,
pas
un réseau d'entreprise. Et vous placez des pare-feu ou
d'autres appareils entre eux. Cela limite donc
leur connectivité. Voici à quoi ressemblera un segment
et il ressemblera. Ainsi, même si un environnement
est compromis, vous ne pouvez pas passer à l'
autre, d'accord ? Parce que vous avez d'autres contrôles, la segmentation peut être délicate, surtout si vous n'avez pas connaissances techniques,
d'accord ? Je recommande donc toujours votre
équipe réseau de le vérifier. Ils ont juste que votre responsable des risques
est le gars de la sécurité. Vérifiez-le, revérifiez
toutes vos segmentations. Et vous pouvez, nous allons
examiner cela. Comment vérifier si la segmentation est correctement effectuée ? Mais j'espère que vous
avez compris pourquoi c'est si important. Et maintenant, vous pouvez voir
comment cela va
réduire la portée de votre réseau
PCI DSS, n'est-ce pas ? Vous aurez dans la portée
et hors de portée. Et juste pour être très clair les
gars, il est amusant de
parler de hors de portée. Nous parlons donc de systèmes. Ils ne sont pas
concernés par la norme PCI DSS Vous n'avez
donc pas besoin d'y
implémenter PCI DSS. Mais alors ils n'
auront pas accès à l'environnement
caudal. Mais si c'est le cas, alors vous devez
implémenter la PCA, d'accord ? Vous devez avoir des contrôles
comme je l'ai mentionné, la segmentation et d'autres choses pour les empêcher d'
avoir accès. Au sein de la console PCA,
ils ont donc donné quelques conseils. Ils disent ces autres choses afin qu'
il ne puisse pas traiter les données des
titulaires de carte. Il ne peut pas être sur le même réseau, il ne peut pas
vous connecter et vous
n'aimez tout simplement pas ça. S'il le fait pour être
considéré comme hors du champ d'application, il doit satisfaire à toutes ces zones grises
et vous devez avoir mis en place des
contrôles pour
fournir à l'auditeur l'
assurance que, par exemple, vous ne pouvez pas simplement Changez
ça demain, non ? Vous ne pouvez pas simplement transférer cette
métrique sur le même réseau. Vous devez disposer d'autres
contrôles tels que des pare-feu, des contrôles d'accès
physiques, l'authentification
multifacteur, restriction de l'accès administrateur ou la surveillance active de
cette métrique pour vous
assurer qu'il n'y a pas de
réseau connectivité. Ok ? Et d'habitude, les gars, une chose que je recommande, et
ce n'est pas populaire. Pourquoi il n'est pas nécessaire d'
implémenter PCI, DSS, un otoscope. Mais je recommande toujours que vous puissiez systématiquement implémenter
Shade ne pas être audité, mais c'est juste une bonne
pratique de sécurité, car le PCI, DSS est une si bonne norme de
contrôle, vous devriez l'implémenter sur
les réseaux hors champ également. Ok ? Voici donc à quoi cela
ressemble, un réseau typique. Ok, c'est ce dont je
parlais quand je l'ai mentionné. Vous pouvez donc voir ici, les gars, vous avez un
environnement Caligula en haut à droite, vous avez une machine
de point de vente, vos systèmes de coordonnées. Il est connecté à des services
partagés tels que territoire
arctique, le traitement par
lots, la journalisation. Il y a un serveur de saut et vous avez un réseau externe, donc il n'y a pas de connectivité
entre le CDE la ligne d'entreprise, d'accord. Il existe une connectivité entre les
services partagés et cela. Mais vous comprenez qu'il n'
y a pas de connectivité directe. S'il y avait une connectivité
directe, elle
deviendra certainement dans le champ d'application. C'est pourquoi, utilisez-le comme guide
de haut niveau sur façon dont vous souhaitez
segmenter votre réseau. Bon, c'est de ça que je
parlais, de segmentation. C'est comme de l'art. Franchement, cela change en fonction de la
taille du réseau, contrôle dont vous disposez, nombre de
solutions techniques
dont vous disposez, qualité de votre équipe réseau ? Et je
vous recommande simplement de contacter
votre auditeur avant, lui
montrer le
diagramme de réseau avant et après la façon dont vous allez
segmenter, d'obtenir ses conseils. Ne présumez pas qu'ils
ne sont pas là pour vous aider. Ils ne sont pas là
pour un audit d'échec. Ils sont là en tant que partenaires. Nous allons vous aider. Alors, tendez-leur la main. Cela vous évitera beaucoup
de problèmes plus tard. J'espère que cela vous a été utile
et que cela a permis de terminer notre phase
de fondation. Passons maintenant à la phase de
mise en œuvre. Merci.
5. 3 - Processus DSS PCI (mise en œuvre): Bonjour les gars, Bienvenue dans ce module, qui est la deuxième partie
du processus PCI DSS. Nous avons maintenant terminé la partie
fondamentale. Je vais parler de
la partie mise en œuvre, qui est très importante. Maintenant. Vous avez posé
les bases, vous avez posé toutes les bases. Maintenant, le plaisir commence, qui consiste à implémenter norme PCI DSS dans votre environnement. Ok ? Donc, l'une des principales
choses que vous ferez si vous ne l'avez pas déjà fait serait d'engager le Royaume-Uni et les États-Unis. En gros, l'évaluateur
de sécurité qualifié. C'est une désignation que le conseil de la CPA donne
à certaines personnes, alors elles sont définitivement
qualifiées pour effectuer maintenant des attente
PCI, des
services de conseil et des audits. Pour devenir PCR,
vous devez répondre à certains
recombinants de l"éducation pour réussir une certification et suivre formation
appropriée du conseil PCA. Et ensuite tu
seras employé par un cabinet de
sécurité et d'audit comme moi. Et généralement, ils doivent être
certifiés chaque année. Ils ont invité la hiérarchie des États-Unis. Il s'agit d'une tierce partie indépendante créée par des organisations qui souhaitent
concourir ici, conformément à la norme DSS. Ok. Et ils veulent s'assurer qu'ils viendront et
qu'ils feront l'audit. Ils vous conseilleront sur la façon
de devenir conforme à la norme PCI DSS. Au cours de l'audit préalable à la vente, le QSIF déterminera si votre organisation
a
répondu de manière satisfaisante aux commentaires complémentaires du PCF, The Directory, ou peut-être que
vous n'avez pas d'importance, mais vous avez mis d'autres commandes,
sont des commandes de compensation. Si cela suffit, il remplira un ROC
et un rapport de conformité, ce qui ressemble à un rapport détaillé, et un AUC qui est une
attestation de conformité. Vous et lui avez un bateau,
je peux l'assigner. Ensuite, vous allez l'envoyer
à votre système de paiement ou votre banque pour vérification. En gros, les trois SQS en tant qu'ami ne sont pas
là pour vous faire échouer. Tu es déjà Zai pour t'aider. S'il vous fait beaucoup d'
observations, croyez-moi, il est dans votre intérêt vous
assurer qu'
elles soient rectifiées. Ok. Beaucoup de personnes
veulent simplement
passer un audit PC et en
finir avec. Ok. Ils ont l'impression d'avoir
fait leur travail. Interagissez avec eux. comprendre quelles
sont les exigences et pourquoi il le fait. On le traite comme un partenaire. Ok.
Traitez-le comme un partenaire afin d'être en mesure de
répondre pleinement aux exigences
de la norme PCI DSS. Ok, maintenant tu peux
aller au Kiva, disons que tout le
travail de base que nous avons fait maintenant
tu peux avoir la portée. Vous avez segmenté le réseau. Vous pouvez maintenant commencer à
mettre en œuvre les exigences de la norme PCI
DSS. Nous allons les examiner en détail
dans la section suivante. Je ne vais donc pas perdre
trop de temps là-dessus. Fondamentalement, ils sont à la fois
opérationnels et techniques. L'accent est toujours mis sur la
protection des données des titulaires de carte. Nous avons six catégories et 12 commentaires et je vais entrer dans les détails
à ce sujet. Mais le PCL ou le
QS disent habituellement entre et il fait un filamentaire
comme un audit d'écart. Ok. Et il vous donne vos conclusions. Voilà donc à quoi cela ressemble. C'est la première fois, je
peux vous l'assurer. La première fois que tu
fais un audit d'écart, tu vas avoir comme si tu allais être très déprimé
quand tu verras les résultats. Il y aura beaucoup
et beaucoup de découvertes vont arriver
parce que peu
importe la base
que vous avez faite, toutes ces choses que vous ne
saviez pas. Vous allez trouver les
données des titulaires de carte claires dans les endroits
les plus insoupçonnés
qui arrivent à tout le monde. Ceci est basé sur
ma propre expérience de la PCR au cours
des dix dernières années. Ok. Mais il y aura
de nombreuses lacunes. Ne vous inquiétez pas, c'est un
voyage, pas une destination. Vous allez donc élaborer un plan
d'action avec une longue liste d'éléments et
commencer à travailler dessus. Ok ? Implémentez une victoire rapide. Il y aura des choses que vous
pourrez mettre en œuvre immédiatement. Commencez à travailler dessus
et obtenez des mises à jour régulières, le QSEN, puis
concentrez-vous sur les plus longues. C'est là que je vous ai dit, souvenez-vous où vous êtes et
quel est l'état souhaité. De nombreuses entreprises ont
les mots-clés pour le faire. Vous pouvez
également le faire vous-même, soit dit en passant, simplement pour vous le faire savoir ou vous pouvez avoir une entreprise complètement
indépendante, comme une
société distincte des États-Unis. Certaines grandes entreprises, je sais qu'elles ont fait comme ça, d'accord. Également. C'est donc à vous de
décider de la façon dont vous le faites. Ok ? Mais comme je l'ai dit, concentrez-vous sur les écrans rapides et vous
aurez
ensuite ces résultats. Cela va prendre un certain temps. C'est là que le soutien à la
gestion, dont j'ai parlé,
va aller à NP-Hard. Parce que si le PDG, le PDG est là pour vous
aider, croyez-moi,
les choses vont bouger. Dans le cas contraire, d'autres ministères
ont d'autres priorités. Ils ont d'autres choses
dans leur assiette,
mais leur travail n'est
pas de ne pas faire PCI DSS. Vous obtiendrez beaucoup de
soutien si vous vous engagez tôt
avec le soutien de la direction . Supposons que tu l'as fait. Tu combles toutes les lacunes. Maintenant quoi ? Maintenant vient
la dernière partie, qui est l'audit final. Avant la finale,
vous pouvez tester le CQ. Ok. Résolvez tout,
entrez et faisons l'audit final
avant que cela ne se produise, recueillez votre documentation
et vos politiques de sécurité, vos accords de contrôle des modifications, accords de contrôle des modifications rapports d'analyse des diagrammes de
réseau, documentation,
formation sur et sur. Ok. S'assure que toutes les parties prenantes
sont alignées et prêtes. Ne présumez pas qu'ils vont tout
laisser tomber et venir à vos réunions parce que généralement le QSEN a besoin de réunions planifiées, réserver tout le monde dans le calendrier, de mettre et de s'assurer qu'ils comprennent l'
importance de ce calendrier, les rapports qu'il implique,
votre haute direction
est également impliquée, et les personnes clés de l'informatique, des applications de sécurité,
des ressources humaines, services juridiques, de tous Ces
gars-là sont là. Des habitudes comme une sorte d'
équipe, vous pouvez créer un groupe de travail pour la CPA et vous pouvez demander aux
sociétés de lobby des prêts de faire cela parfois. Les gars, assurez-vous de
réserver suffisamment de temps pour
corriger les résultats. Si votre
date limite de conformité PCI est le 15 mai, n'appelez pas l'auditeur
et le 14 mai, ne présumez pas qu'
il
veut trouver des informations. Vous pourriez trouver quelque chose de
complètement inattendu. Avoir une période tampon de deux semaines, un mois, dépend probablement votre environnement pour vous assurer que, juste au cas où
des découvertes complètement
inattendues se produiraient,
vous ayez suffisamment de temps
pour y des découvertes complètement
inattendues se produiraient, remédier. eux. Maintenant. Félicitations. Vous avez
peut-être dit audit. L'auditeur va
remplir le rapport
sur la conformité ROC ou cette décision de conformité
ou vous n'en aurez peut-être pas besoin avec mes chiffres
remplissant un
questionnaire d'auto-évaluation. Et vous n'aviez pas
du tout besoin du QSR. Les rapports sont le
mécanisme officiel par lequel vous, en tant que commerçant,
prestataire de services ou banque, vous signalez votre conformité
PCI à votre institution financière, comme un paiement de marque
Visa, MasterCard. Et parfois, vous pouvez
avoir besoin de soumettre un rapport SEQ sur la conformité. Parfois, vous pouvez même avoir
besoin de soumettre un Stan. Ok. Cela dépend vraiment. Comme je l'ai dit, cela
dépend de la façon dont on s'y prend. Parfois, vous pouvez également avoir besoin de soumettre des historiques d'
analyse réseau tous les
trimestres. Pouvons-nous discuter du décilitre ? Cela dépend vraiment du paiement lorsqu'il est
difficile de vous proposer une solution unique
pour chaque environnement. Ok ? Ok. Et maintenant, vous passez le PCR
que vous l'avez soumis. Quoi maintenant ? Les gars très importants, s'il
vous plaît, vous devez implémenter PCA en
tant que processus BAU pour vous assurer que contrôles de
sécurité
continuent d'être correctement mis en œuvre, vous devez le corriger dans
vos processus BAU dans le cadre de votre stratégie
globale, comme le mettre dans les
autres départements, les manuels
opérationnels, leur
technicien qui a dit ça ? Non, ils savent que c'est
quelque chose que tu dois faire. Mettez-la dans votre propre calendrier, les normes que vous devez faire, les avis, ils
doivent faire l'annonce. C'est une façon de surveiller
l'efficacité de vos contrôles et
de la maintenir. Donc même si tu es là,
tu n'es pas là, quelqu'un d'autre entre,
peut-être que tu es en congé. Tout le monde sait ce
qu'il doit faire. Ok ? Vous pouvez donc surveiller vos contrôles de sécurité pour vous
assurer et vous assurer
que si quelque chose échoue, peut-être qu'un scan passe quart ne passe pas
l'autre trimestre. Si vous avez une
sorte de calendrier,
c'est un excellent
mécanisme pour connaître cohérence de la norme PCI DSS si vous passez des
analyses tous les trimestres, contrôleurs de
disque arrivent à maturité maintenant. Assurez-vous donc que vous l'avez
implémenté dans le cadre d'un BAU. Ne l'oubliez pas et
puis réveillez-vous, vous devez
soudainement
faire cette affaire. C'est ainsi que vous
implémentez la norme PCI
DSS dans votre environnement, les gars, comme je l'ai dit,
c'est un processus évolutif. Elle ne cesse de changer,
d'évoluer. La première année
sera difficile. Le deuxième jour, tu te
verras t'améliorer. La troisième année, vous
pourriez faire face à d'énormes défis. Continuez à améliorer la portée. Ne gardez que, je pense qu'
avec l'auditeur changez régulièrement vos auditeurs. Ne comptez pas sur le
même auditeur
au cours des dix prochaines années. Ce n'est
pas une bonne pratique. Continuez à ajouter de nouvelles choses à votre environnement et vous verrez certainement votre environnement mûrir, cela
deviendra plus facile. Et vous
commencerez à profiter de l'ensemble du processus pour
devenir conforme à la PCA. Ok les gars, donc c'est
la fin du processus BCR. Passons maintenant à un examen approfondi la norme et
des exigences dont j'ai parlé plus tôt. Je te verrai dans le
prochain module. Merci.
6. 4 - Exigence 1: Bonjour à tous. Bienvenue dans ce module
dans lequel nous
allons approfondir les exigences
PCI. Auparavant, nous
parlions du processus, de la norme elle-même. Maintenant, ils vont
étudier
en profondeur chacune des
exigences des essais, d'accord ? Comme je l'ai mentionné, je
ne vais pas
passer en revue chaque ligne de
chaque exigence. Personne ne veut manger pour ça. Que vous puissiez vous faire vous-même
honnêtement, l'essentiel est de
comprendre l'intention sous-tend chaque exigence
et essayer de répondre à cela. Le PCA est une norme technique. D'accord. Mais cela vous laisse une
grande marge de manœuvre. Commençons donc par le
premier commentaire et voyons voir. Et n'oubliez pas que vous pouvez toujours
joindre votre cellule. Donc, si vous êtes confus
sur une exigence, traitez-le comme un partenaire
de sécurité. Bon, commençons par
la première exigence qui est l'installation et la
maintenance d'un pare-feu. Juste pour résumer, si vous vous
souvenez d'un objectif de fibres, le but premier
d'un pare-feu. Pourquoi mettez-vous un pare-feu ici ? C'est de filtrer le trafic potentiellement
dangereux, est la première ligne de défense. Et le simple fait
d'installer un réseau de fibre optique ne le sécurise pas, n'est-ce pas ? Donc, si votre fibre n'est pas
configurée et maintenue correctement et que l'efficacité n'est pas
sécurisée dans l'état par défaut. En résumé, ce que je veux dire c'
est qu'un pare-feu correctement
configuré sera la première
ligne de défense pour bloquer les accès
réseau indésirables. Vous allez vouloir le
placer entre votre réseau,
vos systèmes et
Internet également au sein de votre réseau de titulaires et de vos autres réseaux également. Bon, tu vas avoir
besoin de plusieurs fibres. D'habitude c'est comme ça qu'ils font. Et le pare-feu est généralement lorsque vous faites votre segmentation, vous allez également créer
vos zones. Donc c'est pour ça que quand
l'auditeur arrivera, il va vérifier s'il
découvre que vous n'avez pas revu votre pare-feu depuis
deux ans, ça va poser problème. S'il constate que votre pare-feu utilise toujours les mots de passe
par défaut, comme un accès complet
ouvert à Internet. Rien de tout cela vous causera de
problèmes. Juste pour récapituler, nous en avons
déjà parlé, vous vous souvenez du fonctionnement de la
segmentation, n'est-ce pas ? Vos règles et votre
nouvel environnement vont donc évoluer
au fil du temps. Ça ne va pas être statique. Vous allez donc vous
assurer que la segmentation est et
qu'elle est revue
tous les six mois. Minimum. Au moins tous les six mois, vous
devez revoir votre fibre, la conserver
sous forme de documentation, y
avoir un rapport qui prouve que vous avez effectivement
revu le pare-feu. Qui se souvient de ça ? Sinon, l'auditeur n'
aura aucun moyen de savoir si
vous le faites ou non. Et quelles sont les principales actions. Donc, comme je l'ai déjà mentionné, une erreur courante, une erreur très, très courante que
les gens font est de supposer que le pare-feu est comme une technologie
plug and play de pompe. Une fois que vous l'avez installé, des efforts supplémentaires sont
presque toujours nécessaires pour restreindre l'accès et
protéger l'environnement
des données des titulaires de carte. L'objectif final du
pare-feu est de filtrer trafic
Internet
potentiellement dangereux et d'autres réseaux non fiables. Donc, si vous
travailliez dans le commerce électronique, le pare-feu
serait là entre votre Internet et votre environnement
dorloté, n'est-ce pas ? Donc vous devez le faire, c'est
là que la portée et tout ce travail acharné que nous avons fait
avant Cela va entrer en ligne de compte. Vous allez donc vous
assurer que toutes ces
choses sont là. Tu vas
avoir une règle de refus. Vous allez avoir une unité de filtrage
de paquets de tuyaux. Chaque fois que vous ouvrez un port, ils doivent retraiter l'unité
IK qui s'ouvre vers le haut. Est-ce que cela a été vérifié par les
équipes, cela n'a pas été vérifié. Si une seule personne le
fait, personne ne le regarde. Ok. N'oubliez pas que vous
devez le protéger. Tout trafic entrant et sortant provenant de l'environnement caudal. Vous devez avoir des normes pour vos pare-feu, ce qui est autorisé ce qui ne l'est pas, et vous avez
besoin
d'une sorte de révision. Évidemment, personne ne va
revoir votre pare-feu
ou voler personne. Honnêtement, ce n'est
même pas possible. Mais généralement, ce que font
les gens, c'est qu'ils s'assurent que tout
est anodin et francium. Et ce sont des alertes configurées. Et comme, comment appelle-t-on
quelqu'un qui le surveille ? Ok. Si vous générez un rapport, je pense qu'il s'agit
généralement de trois cent, cinq cents règles qui
apparaîtront dans un petit environnement. Ce n'est donc même pas pratique
à distance, mais l'auditeur va
vérifier l'interface utilisateur pour s'assurer que votre pare-feu
n'est pas simplement quelque chose dans lequel
vous le mettez une fois
et que vous l'oubliez complètement. Ils sont comme des revues qui se produisent,
des normes se produisent. Il est en cours de révision,
il est surveillé et il est correctement placé. Il va donc regarder
où les empreintes digitales, le diagramme
du réseau de fibres également. Alors gardez ces choses à l'esprit et le kilomètre de la fibre est
assez simple, je pense honnêtement que votre
corps appelle un moment de sécurité. C'est drôle. C'est une de ces choses
qui devrait être là de toute façon. Mais la différence
entre PCA est l'effort qu'ils mettent
tant d'accent et les ports, les examens réguliers et votre
diligence raisonnable. exécution d'une
règle de sécurité suffit pour compromettre votre environnement de
pare-feu. Donc tout ce que j'ai ce
concept de confiance, mais vérifiez parce que le
pare-feu
s'assure qu'ils sont
configurés pour
toute raison et que c'est une perpétuité,
le trafic est bloqué. Ok. Assurez-vous d'
avoir personnellement des fibres optiques également sur vos ordinateurs portables et vos PC, vos plateformes
mobiles. Ok. Il ne s'agit donc pas simplement d'
un pare-feu d'entreprise, assurez-vous que la sécurité du
pare-feu est appliquée de
manière cohérente
sur l'ensemble de votre réseau. C'est donc à peu près ça. C'est un identifiant simple ou un
commentaire et vous pouvez consulter la norme pour voir quels
sont les détails, comme un refus. Et l'une des choses
qui devrait se passer, c'est de s'assurer que ces
règles sont bien présentes. Vous examinez
et surveillez activité de
votre pare-feu.
7. 4 - Exigence 2: Bonjour à tous,
Bienvenue dans cette exigence. Dans cette exigence, nous allons
traiter de la seconde,
qui
concerne les
normes de configuration et, fondamentalement, le renforcement
et la standardisation,
la standardisation l'environnement de votre
titulaire de carte. Si je devais vous dire
un mot pour décrire cela, ou deux mots pour
décrire cette exigence. Il peut s'agir de paramètres par défaut. Traditionnellement, n'importe quel appareil, votre routeur ou votre pare-feu, votre serveur, il est livré avec certains
paramètres non sécurisés par défaut, non ? PCM nous demande donc de
nous assurer qu'ils le sont. Ils ne conservent pas
leurs paramètres par défaut et sont sécurisés, peu importe ce que vous mettez dans votre environnement
Caldwell. Il a été sécurisé par rapport
à sa valeur par défaut. Paramètre. Le moyen le plus simple pour un pirate informatique d'accéder à
votre réseau interne. passe secs par défaut certifiés ou exploits basés sur les paramètres
par défaut, les paramètres
logiciels de votre infrastructure
de cartes de paiement. Tu ne le croirais pas. J'ai vu de nombreuses fois des marchands ne
modifiaient pas
les mots de passe
par défaut des distributeurs automatiques
ou des caisses enregistreuses. C'est comme si vous aviez une boutique et que vous l'aviez laissée
déverrouillée la nuit. Ok ? Donc, la plupart du temps il s'agit de mots de passe et de
paramètres par défaut pour les appareils réseau. Ils sont largement connus
sur Internet. Ces informations ont été fournies avec certains outils
disponibles très gratuitement. Ils peuvent donner très
facilement aux attaquants un accès
non autorisé à votre environnement. Vous pouvez le sécuriser
autant que vous le souhaitez. Vous pouvez mettre autant de
followers que vous le souhaitez. Mais si vous le faites, je n'ai pas mis
en place ces
paramètres par défaut lorsque vous avez
laissé la fenêtre ouverte. Vous avez verrouillé la porte, mais
vous avez laissé la fenêtre ouverte. Quels en sont donc les points clés ? Comment s'assurer que les mots de passe
par défaut des différents paramètres sont
renforcés lors de l'installation ? Utilisez-vous ce mot de passe
par défaut, 123 MVC, vous savez, les mots de passe
standard. Y a-t-il un processus actuel l'auditeur va
examiner ? Y a-t-il quelque chose avec
lequel vous pouvez durcir votre E/S standard en
tombant dans une certaine norme ? OK. Savez-vous que tous les systèmes qui ont comme un inventaire, comme un moyen automatisé de savoir combien de
Sudistes y a-t-il ? Et si vous avez comme ça, vous êtes censé
avoir 50 serveurs, mais nous avons en fait
100 serveurs
et les 50 restants, ils ne sont en fait pas sécurisés. Comment le
saurais-tu ? OK. Sur la valeur actuelle des normes en baisse toutes les normes de l'industrie Ce sont donc les choses
que vous devez garder à l'esprit. Quelles sont les principales
mesures à prendre ? La cohérence est l'
essentiel ici. Si vous retirez quelque chose de cette norme, c'
est de la cohérence. Donc une fois que vous n'avez pas de
serveur et que vous le
créez, vous devez le rendre facile
en supposant que vous avez créé un
standard de harding, non ? Vous dites que je vais
suivre l'indice de référence de la CEI. Ok ? Vous devez appliquer
à tous les environnements et au client de manière
cohérente. Donc, une fois que vous avez configuré le système et que vous vous êtes
assuré que tout est là. Tu as d'
autres choses à faire, non ? Vous devez vous assurer que cet
inventaire est à jour. Il s'agit en fait
d'une cartographie de l'environnement. plupart du temps, les gens utilisent
une sorte de système automatisé. Personne ne va le faire manuellement. Ok ? De cette façon, s'il
existe un système, système dans l'environnement caudal qui n'est pas approuvé pour une utilisation. On peut le découvrir, attends. J'utilise généralement
une sorte de logiciel de gestion de système pour m'aider à obtenir
cet inventaire. Ils peuvent établir des rapports sur
le matériel
utilisé ou sur les
logiciels qui s'y trouvent. Et comme de nouveaux appareils
sont achetés en ligne, ils peuvent
appliquer les normes, d'accord. L'administrateur recevra une alerte si votre système n'est pas
conforme à votre norme interne. D'habitude, j'ai souvent
vu une entreprise utiliser des outils. OK. Vous devez donc disposer d'un moyen
sécurisé de gérer l'environnement et d'
inventorier tout,
tout le matériel et les logiciels normes de
configuration documentées. Vous n'avez pas besoin de
les créer à partir de zéro, d'utiliser quelque chose comme le benchmark
CIS, d'accord ? Et vous devez disposer d'
un moyen
sécurisé accéder à vos systèmes. S'assure que tout ce qui est
par défaut est supprimé. Comment fais-tu ça ? Il existe
de nombreux outils disponibles, d'accord. D'habitude, ça ressemble à ça. OK. Donc, si vous installez un serveur, un pare-feu ou un appareil dans
n'importe quelle ville ou État, votre équipe va
procéder à un renforcement. Ils vont
faire quelques scans. Ils vont
examiner le rapport. Ça va leur dire, OK. Il n'est pas durci
selon l'indice de référence de la CEI. Ce mot de passe est là,
ces choses sont là. Toutes ces choses sont que les
paramètres de mot de passe ne sont pas là. Vous savez, la complexité des
paramètres
de mot de passe de base et toutes ces choses. Ce n'est pas là que l' administrateur va faire le travail et il
va le durcir. Comment appliquez-vous
cela de manière cohérente ? Habituellement, les gens utilisent quelque chose
comme une image dorée ou ils ont une sorte de
script, tout bascule. Et en plus de cela,
ils ont un scan qui se produit régulièrement. Cette analyse est en cours
et vérifie toute non-conformité. Vous devez donc disposer de ces
outils dans votre environnement. L'auditeur va examiner
cela et
s'assurer de découvrir s'il y a des écarts par rapport
à vos normes, accord, vous devriez avoir un
processus pour y remédier. Donc, assurez-vous que ces éléments
sont, disent-ils simplement, rappelez-vous
simplement qu'il n'y a pas de paramètres
par défaut ou de renforcement et de
normalisation et un processus de surveillance
soit là pour s'assurer que tout est standardisé dans l'environnement de votre titulaire de carte. D'accord, je pense que c'
est assez simple. Je suis sûr que vous pensez que
c'est déjà là. Eh bien, s'il existe déjà,
formalisez-le et examinez les
exigences s'il y a quelque chose que vous
n'êtes pas significatif. OK. Merci les gars. Je te vois dans la prochaine vidéo.
8. 4 - Exigence 3: Bonjour à tous,
Bienvenue dans ce module. Maintenant, c'est probablement l'exigence la plus
importante pour PCI DSS. Souvent, quand les gens
parlent de PCI DSS, ils parlent de cette exigence
particulière uniquement parce que
capture en gros ce que PCI DSS est n. C'est l'une de ces
choses uniques que possède PCI DSS. Ok. Je parle de la protection des données
des titulaires de carte. Je ne me souviens pas de ce que
je t'ai dit
tout
à l'heure à propos de ne pas mémoriser les exigences Cela ne s'applique pas à celui-ci. Vous devez absolument connaître
cette exigence à fond car c'est là l'auditeur va
se concentrer le plus. Ok. C'est là que si vous des bêtises et que vous ne le
suivez pas correctement, vous risquez d'
échouer à l'audit. C'est donc très, très important. Donc, lorsque nous parlons de données de
titulaires de carte, nous parlons
essentiellement toute information imprimée, transmise ou stockée
sur une carte de paiement, d'accord ? Si vous aimez
accepter les cartes de paiement et que vous êtes
censé protéger ces données, qu' elles soient imprimées
ou stockées dans
une base de données ou un
réseau public interne, ou peut-être dans un cloud. Ainsi, les parties essentielles
savent où vous
stockez ces données et ce dont vous
n'avez pas besoin pour ne pas les stocker. Et
trouvez un moyen de savoir où vous
stockez ces données. Vous ne voulez pas que l'
auditeur le trouve. Tu veux le
découvrir toi-même, d'accord ? Voilà donc les choses. PCI, DSS est donc très,
très clair sur ce que vous
pouvez et ne pouvez pas stocker. Et vous devez savoir ce que vous stockez, où
vous le stockez, comment vous le stockez pour vous
assurer que vous respectez les normes
PCI DSS. Alors, juste pour regarder, quand tu parles de carnaval, des éléments, de quoi
parle-t-on ? Il y a quelque chose qui s'appelle
le numéro de compte, le numéro du titulaire de
la carte, en gros le numéro du titulaire de
la carte, en gros le pan
que nous appellerons, c' est un numéro à 16 chiffres. Nous avons des éléments tels que
le nom du titulaire de la carte, la date d'expiration,
le code de service. Au verso, vous devez
suivre les données, les données la bande magnétique et vous avez le code CVD que vous pouvez utiliser pour les transactions de
commerce électronique. En gros, lorsque vous
stockez ces données, elles doivent être protégées. Ensuite, vous le stockez
affichait ces données. Il doit être protégé lorsque
vous imprimez le Delta, il doit être protégé. Le problème survient généralement lorsque
les gens, sans le savoir, finissent par déformer et
ne pas protéger ces données, ce qui est à l'origine de la grande
majorité des problèmes. Alors, qu'est-ce que PECSA et voyez
ce qui doit être stocké ? Ok ? Tout d'abord, il divise les données en
deux éléments, d'accord ? Vous parlez de données de
titulaires de carte
et de données d'authentification sensibles. Ok. Donc, votre plan, vous êtes le code du service d'exploration
du nom du titulaire de carte, c'
est-à-dire les données du titulaire de carte. Vous pouvez le stocker, mais
vous devez le protéger. Et l'autre, qui est constituée de
données d'authentification sensibles comme
les données, le code CVD, le code PIN
et
le bloc PIN, le code PIN
que vous entrez lorsque vous effectuez une transaction qui est données d'authentification sensibles
ou SAD, ne les stockez pas. Si ce n'est pas le cas, vous
n'avez pas à le
stocker une fois la transaction
autorisée. Ok. Ensuite, la grande majorité des fois, ces gros compromis
qui se sont produits, personnes
malveillantes, ils peuvent, ils découvrent que ces données sont stockées et ils les utilisent
pour reproduire votre carte et effectuer une
transactions frauduleuses. Le code CPP est que vous remarquez que le code à trois chiffres
que vous utilisez pour les transactions
électroniques par carte
ne présente pas les transactions. Le bloc de broches
est donc bien entendu la broche
que vous utilisez. Ça devient un bloc d'épingles. Il est crypté. Mais même si, même
s'il est crypté, vous ne pouvez pas le stocker, les gars, juste
pour vous en souvenir, je pense que vous pouvez
stocker des choses si c'est une production. Donc je pense que tu
ne peux pas stocker, d'accord ? Et c'est la
principale chose que vous devez garder
à l'esprit si
vous stockez le nom Guardiola et comment vous appelez si
vous stockez la casserole, vous devez la crypter. Ou peut-être que si vous
le montrez , vous devez faire autre chose. Donc je vais, ce que je vais faire c'est parce qu'ils ont très nombreuses façons de le faire. Comment appelle-t-on la protéger ? Ensuite, vous le
stockez lorsque vous le
montrez, lorsque
vous l'imprimez. Je veux y aller un par un. Quelles sont les étapes
que l'ACP vous indique ? Donc, tout d'abord, c'est le masquage ou
ce qui masque les vidéos généralement lorsque vous les
affichez sur écrans ou
des reçus d'impressions. Il ne faut pas le confondre avec les autres exigences
comme le stockage, d'accord ? Ainsi, lorsque vous l'
affichez à l'écran, lorsque vous êtes vertical et que cette personne n'
a pas besoin de le voir. Ok ? Donc, ce que vous pouvez faire, c'est
que vous pouvez masquer le pan, en
gros, vous pouvez utiliser
les numéros de carte XXX. À part ça, tu
obtiens le maximum. Vous pouvez nous montrer les
six premiers et les quatre derniers. Tout le reste, vous
pouvez simplement masquer. Vous pouvez donc voir que c'
est le réservoir de stockage. Quand il est
partagé à l'écran,
vous pouvez complètement mascotte, d' vous pouvez complètement mascotte, accord, nous ne parlons pas de la
façon dont les données sont stockées. Nous parlons du
moment où il sera diffusé. Ok. Quand les gens sur les
écrans d'ordinateur de Missy et quand il
n'y a pas d'entreprise ont besoin de voir l'ensemble du panoramique parfois comme les agents de votre centre d'appels
ou d'autres personnes, ils peuvent avoir une
bonne idée de voir le panoramique complet, OK, tu dois le documenter. Mais neuf fois,
tu n'en as pas besoin. Ok ? Donc, cela concède essentiellement
certains chiffres lors de l'affichage, même pendant les vacances, quelle que soit la façon dont la casserole est stockée,
vous pouvez masquer le goût. Ok, donc la première
étape est le masquage. Découvrez où vous
allez devoir le masquer. Et en fait, le masquage ne devrait être la valeur par défaut que quelqu'un qui a
des exigences professionnelles. Si votre système a la
capacité de le masquer, je
l'allume simplement après avoir
vérifié auprès de l'entreprise. Ok. C'était donc le
premier qui masque. Le deuxième inverse
est la troncature. Vous pouvez également tronquer les
données lorsque vous les stockez. troncature est
similaire au masquage, mais là, vous n'avez pas
XXX nos données, nous supprimons simplement ces chiffres. Vous pouvez voir ici qu'il s'
agit d'un numéro de casserole complet. Et quand vous le
stockez dans une base de données, vous pouvez simplement l'
ignorer, d'accord ? Donc, en gros, cela rend
la carte illisible. Suppression d'un segment de ces données. Et il est généralement utilisé, je l'ai vu être utilisé
dans des bases de données et des fichiers. Ainsi, même si un attaquant peut accéder
à ce jour, il ne peut rien faire car ces chiffres ont été supprimés. Parfois, les entreprises peuvent également
utiliser cette méthode comme méthode. C'est plus sur le stockage, accord ? Ok, qu'y a-t-il d'autre ? Vous pouvez faire du hachage à sens unique. Ensuite, vous stockez des données. Qu'est-ce que le hachage unidirectionnel ? C'est comme un processus
cryptographique. Il prend vos données et les convertit en un type de chaîne
différent. Ainsi, chaque fois
que vous le
faites sur une poêle, le résultat sera différent. Pourquoi est-ce que tu appelles ça
un hachage à sens unique ? Parce que c'est toujours réversible. Vous ne pouvez donc pas obtenir cette
verticale à partir du hachage. Vous ne pouvez pas récupérer le
numéro de carte. Ok ? Beaucoup de temps les gens l'utilisent pour vérifier si des données
ont été modifiées ou non, mais vous pouvez également l'utiliser
pour les stocker, d'accord ? Donc, en gros,
vous créez un hachage
unidirectionnel irréversible de vos données. C'est à vous de décider si
vous souhaitez utiliser ce processus. Je l'ai
vu être utilisé. N'oubliez pas que vous ne pouvez pas
revenir en arrière. Tu ne peux pas l'utiliser pour de
futures transactions, d'accord ? Parce que ces données sont modifiées de manière
irréversible. Comme parfois, nous avons besoin de bonbons
que vous n'avez pas à stocker, comme vous le faites,
il n'est pas nécessaire de les masquer. Ce n'est pas seulement pour la troncature et vous
n'avez pas besoin de ces données, vous pouvez les stocker sous forme de hachage. C'est l'une des manières possibles. Nous avons donc parlé des
gars de troncature juste pour revenir en arrière. C'était donc du Caucase. Lorsque vous le stockez, c'est hachage. Maintenant tu
sais faire la différence. Une chose très, très
importante les gars. Vous ne pouvez pas enregistrer les versions tronquées
et hachées de la même carte de paiement. Environnement caudal de Virginie. Ok ? Parce que ce qui se passe, c'est
qu'ils peuvent être corrélés. Qu'est-ce que je veux dire par là ? Si l'attaquant a accès à
la bande tronquée et à
cette bande et aux
versions hachées du numéro d'enregistrement, il peut récupérer le plan d'origine
sur la base de ces deux données. Ainsi, lorsque vous les stockez
dans des bases de données et des fichiers plats tels que des feuilles de calcul ou peut-être
des journaux d'audit de sauvegarde, vous devrez peut-être les protéger et ne pas les stocker ensemble. Ok. Il était l'un des deux, mais
ne les rangez pas ensemble. Beaucoup de gens que j'ai
vus
oublient parfois cette
exigence et que la troncature et le
hachage se font
en même temps.
S'il te plaît, ne fais pas ça. Qu'est-ce qu'il y a d'autre ? Tokenisation. tokenisation est un processus
très simple. Ce qui arrive
, c'est que parfois vous avez remarqué que lorsque vous
le hachez, vous le tronquez. Le format à 16 chiffres
change, non ? Ce n'est plus un numéro à
16 chiffres. tokenisation est un processus qui remplace le numéro de
carte d'origine. Un autre numéro à 16 chiffres. Cela aussi s'appelle un jeton. Le jeton peut ressembler à un numéro de titulaire de carte
légitime, mais ce n'est pas le cas, il n'a aucune
valeur pour un attaquant. Ok ? Donc, généralement, ce qui se passe
est que cela est réversible, donc vous pouvez tokeniser que vous avez quelque chose
appelé un jeton volt. Donc avec le formulaire de ce
jeton, vous pouvez revenir en arrière, récupérer le numéro de
carte d'origine , d'
accord, vous pouvez le récupérer. Donc, la tokenisation, d'
habitude, je l'ai vue,
elle est utilisée lorsque les gens veulent simplement
stocker les données du titulaire de la carte pour des transactions
futures. Mais ils veulent
s'assurer que c'est sécurisé et ils ne veulent pas que ce
format soit modifié. Donc je veux dire, il y a
plusieurs façons de le faire. Vous pouvez le faire à partir de la poêle. Vous pouvez le générer de manière aléatoire. Vous pouvez avoir un jeton, un coffre à jetons en cours de création, qui est les données de tokenisation
et de tokenisation D. Il existe plusieurs
façons de procéder. Il suffit de comprendre le jeton qui préserve le stockage, de
formater le pan à 16 chiffres, et vous pouvez l'inverser afin qu'il puisse tokeniser et le tokeniser D. Parfois, vos bases de données
peuvent stocker grandes quantités de données
qui sortiraient si vous les hachiez et
elles ont besoin d'un numéro à 16 chiffres. tokenisation vous aide donc. tokenisation aussi parfois, je vais même la sortir de la portée. Mais il y a encore beaucoup de travail
à faire à ce sujet. C'est donc la différence fondamentale entre la tokenisation
et les autres fonctions. Enfin, le chiffrement, qui
est la chose la plus courante. Le chiffrement est un peu
similaire à la tokenisation en ce sens que le Japon est remplacé par d'autres données
qui n'ont aucune valeur. Mais le chiffrement est quelque peu différent car tout d'abord, il ne préserve pas
le format d'origine. Et il utilise un gestionnaire de clés comme un mur avec une clé
cryptographique. Et il utilise comme un
gestionnaire de clés parce que votre enfant utilise une clé et un algorithme
pour générer un nombre énorme, que vous ne pouvez pas récupérer le
numéro de carte d'origine à partir de ces données. Ok ? En général, la taille
des données augmente comme si elle ne conservait pas
le format d'origine. C'est donc à vous de décider
ce que vous voulez utiliser. Certaines personnes préfèrent la segmentation en jetons parce qu'elles veulent restaurer ce format dans les 16 chiffres d'autres
préfèrent le chiffrement. Cela dépend généralement des exigences de votre
entreprise. Je sais juste une chose. J'ai parlé d'une clé comme si vous aviez besoin d'une clé pour chiffrer ces données. Donc cette clé, vous
devez également la chiffrer avec une autre clé, et vous devez la stocker
séparément. C'est comme si vous pouviez vous
référer à l'exigence. Sachez simplement que lorsque vous cryptez
des données, les données d'un titulaire de carte, vous devez les
chiffrer avec une clé et vous devez également
protéger cette clé, vous devez crypter
cette clé à nouveau. N'oubliez pas que lorsque vous
parlez de cryptage, je sais que c'est un billet de
loterie, les gars. Il suffit de passer par là, de le
réviser et lentement,
lentement, vous commencez
à le comprendre. Vous n'avez pas à
implémenter toutes
ces choses, ce sont des nombres que vous pouvez simplement faire avec le chiffrement hachage ou la tokenisation. Il suffit de connaître ces différents
départements. Ok ? Ensuite, vous parlez,
si je me souviens bien, recherche de nos données. Vous devez donc revoir vos sources de
données pour vous assurer que le NADH stocke les données des
titulaires de carte non cryptées. Vous ne disposez d'aucune donnée
d'authentification sensible. Regardez vos journaux de transactions, les
données de transaction, votre trace. Essayez comme vous le savez,
parfois les gens activent le suivi pour le
dépannage. Souvent, cela commence à stocker des données non chiffrées, d'accord. Examinez les schémas de votre base de données. Les schémas peuvent
vous indiquer s'il
y a un numéro de carte. Ok. Examinez vos sauvegardes, tous fichiers de vidage sur
incident de la mémoire
existants. Ok. Votre DLP,
beaucoup de choses le sont, elles ne font que commencer
par la gauche. Vous pouvez consulter vos terminaux de
paiement, que vous maîtrisiez
ou tronquiez toutes les données que vous stockez des données
d'authentification sensibles. Vous ne stockez aucune
donnée indéterminée. Regardez vos écrans
et vos rapports. Ok. Y a-t-il quelqu' un qui a besoin de voir
des données, des données de titulaires de carte, sinon, juste de la mousseline
tronquée sur les rapports, peut utiliser cette extrémité,
ces données désolées ? Et si tu pouvais t'en sortir ? Ok. Et si quelqu'un
a accès à distance, il peut récupérer ces données. Avons-nous des contrôles DLP ? Quid des bases de données
et du stockage ? Ok. Donc, lorsque vous
stockez ces données, y a-t-il un
cryptage proton ? Existe-t-il des données
d'authentification sensibles ? Habituellement, les gens disposent d'une sorte
d'outil qui
analyse les bases de données et leur
permet de générer des rapports. Vous ne pouvez pas le faire manuellement. Il y aura
des millions d'enregistrements, vous ne pouvez pas le faire manuellement. Enfin, le partage de fichiers. Souvent, des
partages de fichiers ou un angle mort. gens ne savent pas que les
employés mettent les données des
titulaires de carte dans des feuilles
Excel ou ce qu'il a appelé fichiers
plats et
ils ne le savent pas et font soudainement l'
audit, ça revient. Assurez-vous donc de les
scanner également,
et assurez-vous qu'ils ne peuvent pas être exfiltrés. Ces autres choses,
les gars, j'ai passé plus de temps là-dessus parce que c'est très, très
important de le savoir. Donc, des actions clés. Découvrez les premières données des
titulaires de carte vidéo ce n'est pas seulement utiliser la méthode
technique, parlez également aux gens, dessinez un diagramme de données de titulaire de carte. Assistez avec votre entreprise et
découvrez quel est le flux de données à partir du moment où
les données sont capturées, du titulaire de la carte jusqu'à
ce qu'elles soient
autorisées et stockées. Ok. Vous le trouverez donc dans des bases de données, des partages de
fichiers, même des e-mails, vous le trouverez chez les fournisseurs d'
externalisation cloud. Et enfin, je veux
parler de, d'accord, si vous ne pouvez pas implémenter le contrôle soviétique
PCA ? Je tiens à garder cela à l'esprit. Nous
parlerons plus tard de ce que l'on appelle des contrôles compensatoires. C'est donc quelque chose que vous
devez garder à l'esprit. Et si vous ne pouvez pas chiffrer parce qu'il s'agit d'une
application héritée, n'est-ce pas ? Alors qu'est-ce que tu
vas faire ça ? C'est donc quelque chose
que je veux que vous gardiez à l'esprit. Ok. De quoi avez-vous besoin d'
une politique de conservation des données. Peut-être que vous n'avez pas besoin d'arrêter les données des
titulaires de carte
après 30 jours, d'accord. Il suffit de le supprimer pour qu'il
ne soit pas nécessaire de le conserver. Vous devez avoir un diagramme
de flux de données. L'auditeur va
demander, tout d'
abord, comment savoir où sont stockées
vos données. Avons-nous une sorte
d'outil qui analyse
régulièrement vos
serveurs, bases de données, ordinateurs portables et les gars les plus
importants, veuillez ne pas stocker de données
d'authentification sensibles. Une fois que
l'autorisation de votre carte est terminée. Transférez votre camion
aux données ou au MOOC. Nous ne nous arrêtons pas en blocs masquer les pins sur les
réceptions des clients. Et si vous le stockez, les informations
du titulaire de la carte, alors s'il vous plaît mascotte ou tronquée ou sécurité
au cryptage. Assurez-vous que
le moins de personnes possible accèdent aux bases de
données ou à
leur stockage. Ok. C'était donc l'
exigence, les gars. J'espère que ce n'était pas trop. Prends ton temps, passe au standard. L'essentiel est de savoir où se trouvent les données de
votre titulaire de carte
et de les protéger en conséquence. , ne stockez pas de données
sauf si vous n'en avez pas besoin. Il suffit donc de revoir ce
modèle une fois de plus. Il sera révisé. Vous en
avez donc une meilleure idée et vous prenez des notes, puis essayez de l'implémenter
dans leur environnement. Je peux te le garantir. Si vous êtes dans le secteur des cartes, vous trouverez les données du titulaire là où vous ne vous
attendiez pas à les trouver. C'est une chose courante. Ne t'en fais pas peur. Assurez-vous simplement que vous
disposez d'un processus pour y remédier à l'avenir. Ok, les gars, je vais vous voir
dans la section suivante maintenant. J'espère que vous avez une meilleure idée maintenant et je vous verrai
dans le prochain module.
9. 4 - Exigence 4: Bonjour les gars, Bienvenue dans ce module. Ce module est relativement court. C'est assez simple, il
s'agit de sécuriser les données, réseaux
ouverts et publics. C'est assez simple. Je pense. Je ne pense pas avoir besoin de trop expliquer cela, mais de le calculer. Je veux dire, si vous
l'envoyez sur réseau ouvert
et public, vous en avez deux cryptés, non ? Vous ne voulez pas que les gens se
contentent de consulter ces données. Cela va être envoyé
à un processeur tiers, peut-être des sauvegardes, peut-être
via le Cloud. Et surtout, les
cybercriminels peuvent intercepter cette transmission via les données de
Guardiola. Il est donc important de mettre en place des contrôles que leur
chiffrement peut utiliser. Vous pouvez mettre n'importe quel chiffrement en utilisant une unité cryptographique forte TLS et tous ces autres contrôles. Vous avez peut-être des terminaux
de point de vente
qui envoient des données
par Internet, qui envoient des données
par Internet sans fil
ou GPRS. Vous avez le cryptage sur cela, sur vos violonistes et sur
d'autres technologies cellulaires. Ok. Et qu'en est-il de la messagerie ? Comme le courrier électronique, la
messagerie instantanée, les SMS, le chat. Vous pouvez également envoyer
les données du titulaire de la carte. Vous devez donc mettre en place des politiques, vous devez mettre en place
des contrôles tels que DLP. Il est donc très, très important
d'avoir ces choses. Il existe un certain mélange de contrôles
techniques et
opérationnels. Vous pourriez penser que
c'est très simple, mais croyez-moi, surtout si vous utilisez des terminaux
de point de vente, plupart du temps, ce
sont des terminaux de point de vente utilisent d'anciennes versions de TLS, TLS 1.1, et nous n'utilisons pas les nouvelles
versions comme 1.21.3. Vous devez vous assurer que vous avez un plan pour les migrer. Il suffit de construire à partir des diagrammes de
flux de données dont
nous avons parlé plus tôt
dans le numéro trois commun, vous connaîtrez la date
cardo qu'il
provient de NBC
envoyé à l'extérieur. Je veux m'assurer que
c'est crypté. En cas d'envoi sur
des réseaux publics ouverts. Vous ne voulez pas vous assurer
que ce cryptage ou qu' ils ont une politique interne de ne pas envoyer de
numéros de carte en clair par SMS,
par chat, par l'intermédiaire des équipes Slack. S'il te plaît, ne l'ai pas. Ok ? Vous voulez vérifier vos terminaux
de point de vente pour vous assurer qu'ils
cryptent correctement. Si vous ne les maintenez pas, vous demandez à un fournisseur de contacter le fournisseur et de vous assurer que ces terminaux
de point de vente ne
sont pas sujets
à des exploits connus, tels que des vulnérabilités standard. En général, c'est le
fournisseur qui
vous indique que vous pouvez effectuer vos propres tests. Également. Souvent,
ces entreprises s'assurent que
leurs
terminaux de point de vente sont déjà
certifiés PCI DSS. Vous pouvez vérifier le numéro modal. Vous pouvez aller sur le site Web et mettre
le mortier lombaire, mettre cette version
et voir où il y a style de vie certifié est généralement appelé la
transaction rose PDF Standard. Et je pense qu'il existe
un autre standard, mais vous pouvez le vérifier
sur leur site Web. Il vous indiquera
immédiatement si cet appareil est sécurisé ou non certifie les données
conformément à la norme PCI DSS. C'est à peu près ce que c'est. Assurez-vous d'
avoir un inventaire de toutes vos données qui
sont envoyées. Souvent, ce sont les terminaux
des points de vente. Assurez-vous de contrôler messagerie de
vos utilisateurs finaux, comme les e-mails, temps
perdu, peu importe ce que vous utilisez. Ces contrôles doivent
être là pour empêcher données des
titulaires de carte ne soient
envoyées sur le réseau
public ouvert. Voilà qui conclut cette section
en particulier. Enfin, nous allons simplement nous
assurer que vous n'utilisez pas TLS 1, désactivez tous ces protocoles non
sécurisés. Vous ne voulez pas utiliser
ces premières implémentations de SSL et TLS parce que c'est
très facile à compromettre. Ce n'est pas
considéré comme sûr. Vérifiez donc auprès de votre point de
vente quand il s'agit de son
fournisseur de point de vente et établissez une
sorte de plan. Si vous découvrez que vos
appareils de point de vente l'utilisent, vous devez avoir
un
plan d'atténuation des risques et un plan
de migration avant de le laisser dans les
12 ou 18 prochains mois, je vais de
tout migrer vers TLS 1.2 parce que croyez-moi, l'auditeur va vous le
demander. Ok, c'est fini, les gars. Je te verrai dans
le prochain module. Merci.
10. 4 - Exigence 5: Bonjour les gars,
Bienvenue dans cette section. Cette exigence est, je pense, la
distribution la plus facile pour vous, ce qui veut dire que
si vous ne l'avez pas, il n'y a qu'
un plus gros problème que de ne pas être certifié PCI
DSS. Cette exigence
concerne les antivirus, anti-programmes malveillants qui doivent
être installés sur tous les systèmes couramment
affectés par les logiciels malveillants. Vous devez vous
assurer que vous avez une solution antivirus, qui est
là, que tout ce qui se trouve dans
l'environnement cardinal, vous voulez vous
assurer qu'il est là. Il est régulièrement debout,
régulièrement mis à jour. Et vous devriez avoir
un processus pour
savoir s'il y a une
nouvelle attaque en cours. Comment allez-vous savoir s'
il y a un exploit zero-day ou
s'
il y a un malware qui affecte soudainement
tous les systèmes ? Avez-vous un moyen
de savoir ce qui se passe,
quelles sont les alertes qui
arrivent, d'accord ? Assurez-vous donc généralement d'avoir un PCSS qui implémente un anti-malware
sur les systèmes fréquemment touchés. Les gens le prennent pour Windows, mais vous devriez aussi le
mettre sur Linux, beaucoup de versions de serveurs
Linux qui existent, elles supportent l'anti-malware. Assurez-vous que c'est bien là. Ne soyez pas paresseux sur Linux. Et assurez-vous que
vous avez mis en œuvre un anti-programme malveillant dans tous les domaines. Tu es en train de le scanner. Et ce qui se passe. plupart du temps, les gens
aiment mettre un anti-malware, mais si une alerte arrive,
personne ne la regarde. Ok ? Vous voulez donc vous assurer que ces alertes vont
quelque part, d'une certaine manière en prenant réellement une action basée sur cette alerte,
afin
que cette fenêtre de compromission soit très courte. Ces éléments permettent de s'assurer que vos anticorps sont à jour
et qu'ils envoient des alertes. Ok, ne présume
rien ici. Comme je l'ai dit, les points clés
sont le déploiement d'un antivirus sur des systèmes couramment affectés et des
systèmes
non fréquemment affectés également, s'il
vous
plaît les gars, si vous avez
une sorte de Linux ou autre, s'il est possible d'
implémenter un anti-malware,
veuillez le déployer. Ne soyez pas paresseux, d'accord,
assurez-vous qu'il est mis à jour s' configuré pour analyser automatiquement
et si quelque chose arrive, ces alertes
vont quelque part. OK. Votre définition
doit être à jour. Il ne devrait pas être en mesure de contacter
votre administrateur informatique mais il ne peut pas simplement
désactiver l'antivirus blanc, assurez-vous qu'il y a une
séparation des tâches. Et vous devriez vous assurer que
certaines pratiques là-bas, lorsque vous
les appelez pour
évaluer régulièrement les systèmes, comme peut-être vous avez un
ancien système AS 424 tandem HP ne les
arrête pas tous anciens systèmes que beaucoup de personnes
n'utilisent plus. Mais
faites une sorte d'évaluation des risques
réglementaires pour savoir s'il y a des alertes de l'industrie qui sortent. Peut-être qu'un nouveau virus est
apparu récemment et
que vous ne connaissez pas, et qu'il affecte
ces systèmes. Veuillez donc vous assurer que
ces contrôles sont là et
qu'ils sont documentés, qu'ils peuvent donner à l'auditeur
l'assurance
que vous avez un processus est mort et que vous allez bien
au-delà. Ok ? Vous regardez
les tendances du secteur et vous mettez en place des contrôles
qui doivent être là. Il s'agit donc d'une norme assez
facile à respecter. Je ne pense pas qu'il devrait y avoir de
difficultés. Généralement, les personnes qui
rencontrent des problèmes lorsqu'elles examinent
ces systèmes hérités. Mais en dehors de cela, je pense qu'il devrait être simple
à mettre en œuvre. Merci les gars. Je
te verrai dans le prochain module.
11. 4 - Exigence 6: Bonjour à tous,
bienvenue dans cette leçon. Et du point de vue VHDL, nous sommes à mi-chemin de la
baie à cram et six, qui est le développement et la
maintenance de systèmes sécurisés. Ok ? Et c'est l'un de
ces départements que beaucoup de gens détestent parce qu'
il s'agit de patching. Encore une fois. Je ne pense pas que quelqu'un
aime le patching, mais malheureusement, c'est un élément obligatoire de
tout système de sécurité. Et vous devez avoir un système en place qui soit le plus approprié pour
corriger les systèmes vulnérables. Pourquoi fais-tu ça ? C'est assez simple, non ?
Failles de sécurité dans les systèmes et les applications. Ils peuvent permettre aux
criminels de contourner contrôles et d'accéder aux données des
titulaires de carte. La plupart de ces
vulnérabilités peuvent être éliminées en installant des correctifs
de sécurité. Lorsqu'ils ont fourni des correctifs, nous nous sommes adressés à Microsoft ou à
votre fournisseur tiers. Et c'est comme s'il se connectait la faille de sécurité et à
ce que nous appelons Asper PCIe. Tous les systèmes critiques,
ils ont besoin des
correctifs logiciels récemment publiés, je pense que c'est le plus tôt
possible dans les 30 jours. Et d'autres, vous pouvez
le faire dans les 90 jours, mais c'est vraiment l'une des choses les plus difficiles à accomplir. Tu peux
comprendre pourquoi. Parce que les serveurs sont critiques, les
serveurs sont très
critiques et vous ne
pouvez pas simplement avoir des
temps d'arrêt. Et en même temps, vous avez des attaquants qui sont payés, qui exploitent
peut-être cela. Et ça devient plus
dangereux quand ce n'est pas le cas. Une chose intéressante. Donc, tout comme vous avez besoin d'un processus de gestion des correctifs très solide en place pour implémenter des correctifs de sécurité
critiques, les gars, c'est l'un des plus difficiles et des plus importants
à commenter et à PCI. Ok ? Alors qu'est-ce que tu dois faire ? Eh bien, vous devez vous assurer que
les politiques de gestion des correctifs en place et que vous avez un processus. Comment savez-vous que certains correctifs
critiques sont disponibles ? Vous devez également disposer
d'un processus
de gestion des modifications pour
tout changement chimique. Comment savez-vous que
vos modifications n'
introduisent pas de nouveaux problèmes de
sécurité, n'est-ce pas ? Et comme je l'ai dit, ayez un mois, un mois, ce que nous appelons l'installation là-bas. Parfois, les entreprises
ne peuvent pas le respecter. Vous devez l'avoir plutôt que d'autres
commandes de compensation en place. Vous devez disposer d'un système
permettant d'appliquer rapidement des correctifs, déployer des correctifs sur un environnement de
test, puis de
les déployer en production. C'est très, très difficile
à rencontrer, je sais, mais c'est quelque chose qui vient de
votre position de sécurité. Pci, DSS peut réellement
vous aider ici parce que équipes
informatiques peuvent parfois
devenir paresseuses lorsqu'il s'agit d'
implémenter des correctifs et PCI DSS vous
aidera vraiment ici. Cela vous aidera également à pousser les équipes technologiques à implémenter les correctifs le plus
rapidement possible. C'est davantage du point de vue
du système d'exploitation. Elle s'applique aux applications. Vous aurez également accès à des correctifs
au niveau de l'application. Mais du côté de l'application, les exigences six introduisent certaines nouvelles
choses dont j'ai besoin pour
que vous soyez disponible
pour comprendre. Qu'est-ce qu'ils sont. Donc, lorsque vous développez des applications
, vos développeurs, ont besoin d'une formation sur les vulnérabilités de sécurité des
applications que
vous connaissez,
d'accord ? Il s'agit probablement d'une norme commune en matière
de sécurité des applications. Ils devraient être formés à la nature de
ces vulnérabilités. Dans le même temps, votre
code source doit être revu. Également. Vous devriez avoir une
sorte de dispositif en place
qui est en fait en train de
réviser votre code, vous
indiquant s'il
y a de nouvelles vulnérabilités ici et votre
développement et votre drame, il ne peut pas y avoir de
live les données du titulaire de carte. Parfois, les gens le
font pour faire des tests. Ils ont mis
l'environnement Guardiola en test ou UAT ou quelque chose
comme ça, s'il vous plaît. Vous ne pouvez absolument
pas laisser cela se produire. Ok. Et puis, lorsque vous passez
à la production, le jour Raman devrait être un processus de
gestion du changement approprié. Si c'est comme une
application connectée à Internet , vous
devez l'atténuer. Comment faites-vous pour atténuer ce risque ? Vous pouvez avoir
une application Web comme un test de stylo en cours, d'accord ? Comme les événements abstraits, si je vous fais
savoir s'il y a des
vulnérabilités ou si vous pouvez avoir un pare-feu d'application Web, vous savez, je suis sûr que vous
devez en être conscient. Idéalement, je recommanderais les deux. Je ne pense pas que
l'un remplace l'autre. Vous devriez avoir un VAV
et vous ne devriez pas avoir test de sécurité
d'application qui se passe meurt. Ils travaillent donc tous ensemble. Vous devez comprendre,
vous révisez le code, vos développeurs de formation et les techniques d'
enregistrement sécurisées par CCA. Vous vous assurez qu'il n'y a pas de cartilage, il y a des données que
des tests ou des tests UAT Vous vous assurez que la bonne gestion de la
chaîne est là. Ensuite, vous avez une
analyse de l'application Web et des applications le couplage. Donc, tout cela a vraiment aidé à réduire le risque qu'un
problème se produise.
Vous savez, à quel point les vulnérabilités au niveau des applications
sont courantes , n'est-ce pas ? Mais tous ces éléments, si vous les mettez
en œuvre correctement, ils contribueront
grandement à atténuer les risques de sécurité des
applications. Et ils ont vraiment contribué à améliorer votre posture de sécurité. Ok. Passons aux gars. Quelles sont donc les principales
actions qui existent ? Pour rappel,
vous devez disposer formules de
politique de sécurité
d'application
et les distribuer à
vos développeurs. Vous devriez suivre une formation de codage
sécurisée et une révision du code. Quelque chose qui
vous permet de savoir s'il y a du code
non sécurisé et qui ne le
laisse pas se propager en production. Vous pouvez utiliser des outils
commerciaux courants qui
aident vraiment les développeurs. Vous pouvez également avoir un outil open
source similaire. Troisièmement, comment
savoir s'il
existe un pan dans l'environnement de
développement ? Vous devez étendre
votre analyse à cet endroit. Vous devez vous assurer qu'
il n'y a pas de masque uniquement ou comme un interruption ou
qu'il n'a même pas crypté. Vous ne maîtrisez que les nombres tronqués ou comme complètement. L'environnement de développement. Comme je l'ai mentionné,
vous devriez avoir un du pare-feu d'application
Web test
en peluche du pare-feu d'application
Web et un
stylo de sécurité des applications. Et bien sûr, la gestion
de la chaîne. N'oubliez pas que la sécurité
des applications ne
sera jamais parfaite, d'accord ? Ils ne seront jamais le moment
de dire que sécurité de
mon application
est devenue parfaite. Je peux arrêter ça. Non, non. C'est pourquoi vous devez continuer à
affiner ce processus. Il suffit d'une
faille de sécurité pour que l'attaquant en jeu et compromette
votre environnement, n'est-ce pas ? Donc, les correctifs et la sécurité des
applications, tous ensemble. C'est l'un des commentaires les plus
difficiles à commenter, mais il présente l'un des avantages
les plus importants pour votre posture de sécurité si vous l'avez mis en œuvre correctement. Donc j'espère que vous avez compris maintenant, comme tout cela fonctionne
ensemble, comme je l'ai dit, je suis sûr que vous trouverez
dans des applications secrètes, vous trouverez comme des
anciennes versions de Windows qui ne peuvent pas être corrigées. Vous devez donc en
tenir compte. Supprimez-les
de votre
environnement actuel ou placez-les
dans d'autres contrôles. Ils ont toujours des manières de le faire. J'ai souvent vu
des applications qui s'
exécutent sur d'anciennes applications
héritées. Vous pouvez peut-être le visualiser, vous pouvez le conteneuriser. Vous pouvez en mettre, dans une
sorte de Citrix, quelque chose qui est encapsulé,
défini ou supprimé le jour. Beaucoup de façons de le
faire atteignent vos États-Unis et je suis sûr
qu'il vous aidera. Mais assurez-vous simplement
que vous êtes conscient de ces vulnérabilités et qu'elles ne vous attrapent pas sur un vase, d'accord. OK, les gars, je vais passer
à la prochaine réinscription. Merci. Je
te verrai dans la prochaine leçon.
12. 4 - Exigence 7: Bonjour les gars, Bienvenue dans cette leçon. C'est l'un d'entre eux
plus facile à commenter, surtout après le dernier. Et ça a à voir avec la
restriction de l'accès, d'accord ? En gros, si vous suivez le principe du
moindre privilège, si vous ne le respectez pas,
vous devriez le suivre. Mais si vous les ajoutez,
cela devient facile car votre cartilage
endommage très sensible. Vous devriez avoir quelque chose comme un contrôle d'accès basé sur les rôles, qui vous garantit que
seules les personnes ayant une obligation légitime de consulter données des
titulaires de carte le
font correctement. Vous ne voulez pas de vos comptes
utilisateurs avancés qui n'ont aucune raison de consulter les
données des titulaires de carte, ils arrivent. PCA nécessite donc
une liste à jour, comme une matrice de contrôle d'
accès basée sur les rôles. Je suis sûr que vous
aurez cette matrice, non ? Tu devrais avoir ça. L'auditeur va le prendre. Cette liste ne contient
pas chaque rôle. Quel rôle joue quel genre de
choses auxquelles il a accès, quel est
le privilège actuel est-il vraiment nécessaire ? Donc sur cette base et vous
devriez le certifier
régulièrement, n'est-ce pas ? Vous devriez regarder si l'informatique
a accès, je ne sais pas, comme les
programmeurs ont accès
à la production, n'est-ce pas ? Est-ce que
l'administrateur système a accès au rédacteur de base de données d'
applications,
devraient-ils avoir ce droit ? Donc, ces choses dont vous avez besoin, vous devez les documenter et
vous devez les formaliser. En plus de cela, vous devez avoir
des évaluations régulières. Donc oui, c'est ce dont nous avons besoin. Quelles sont les actions clés sont une politique
écrite pour tous, comme détailler les contrôles d'accès, le contrôle d'accès
documenté. Vous devriez le mettre en correspondance avec la classification du
poste, n'est-ce pas ? Donc, s'il existe un administrateur de
sécurité réseau, vous ne devriez pas avoir accès à votre base de données de production, n'est-ce pas ? Pourquoi aurais-tu besoin
d'y accéder ? Rend tous ces mots
en public devraient être définis le moindre privilège,
c'est l'élément clé ici. Et vous devriez avoir une politique écrite
détaillée seules ces entreprises auront
accès aux données des titulaires de carte. Seul l'
administrateur de base de données peut avoir
accès en lecture à la base de données
et à toutes ces choses. Cela vous
aidera vraiment et vous devriez les avoir régulièrement
tous les trimestres, les jours,
assurez-vous qu'ils sont revus et recertifiés par
tous les utilisateurs. Il s'agit donc d'une économie assez
simple à réaliser. De nombreuses entreprises ont constaté qu'elles avaient déjà mis en place une
sorte de dispositif, manuel
ou automatisé. Il vous suffit donc de le formaliser pour
l'environnement de votre
titulaire de carte. C'est la fin de
cette exigence. Passons au suivant.
13. 4 - Exigence 8: Bonjour les gars, Bienvenue dans
ce cours en particulier. Et c'est l'une des exigences, encore une fois, assez faciles
à satisfaire si vous suivez déjà une bonne
hygiène de sécurité, qui utilise les potentiels
UniqueID. PCS indique donc que les informations d'identification de
base, comme votre analyseur, doivent être
modifiées tous les 90 jours, ce qui devrait avoir une
longueur et une complexité. Auparavant,
il y avait sept personnages maintenant ils sont enfin mis à jour. Mais si vous utilisez
quelque chose comme Active Directory ou
une authentification unique, ils appliquent
généralement une stratégie de mot de passe
stricte. Vous ne voulez pas
avoir un mot de passe qui puisse être facilement déchiffré par un pirate informatique pour accéder à des outils
automatisés, n'est-ce pas ? Comme la puissance de calcul
ne cesse d'augmenter chaque année, puissance de
calcul devient de
plus en plus puissante. Le forçage brutal devient de
plus en plus facile. Vous devez donc avoir des mots de passe
complexes, qu'il
soit très, très difficile pour un attaquant
de les compromettre. Ok ? Vous ne voulez pas avoir de noms d'utilisateur
standard, ne pas avoir d'administrateur
ou de KPI
qui le dirige que je vois encore ces personnes utiliser
des trucs très basiques. Vous ne voulez donc pas avoir ces choses qui peuvent être facilement brisées par une attaque
d'ingénierie sociale
ou une attaque par force brute. Ok, c'est un truc très basique, mais c'est tellement important que les APC en ont fait un climat de
séparation. Un autre sujet très
important
est le MFA,
l'authentification multifacteur. Si vous ne savez pas
ce que c'est,
je suis sûr que vous devez
le savoir,
mais en plus de l' ID
utilisateur et du mot de passe, vous avez besoin d'un autre facteur pour, dans PCI DSS, pour l'accès à distance
ou l'accès administratif. Cela peut être quelque chose que vous avez comme un mot de passe à usage unique, comme un jeton ou quelque chose que vous êtes comme
une biométrique, vous savez, cela peut être quelque chose
comme quelque chose que vous avez, peut être une carte à puce, jeton de sécurité physique et
logique, passe à usage
unique sur
votre smartphone, d'accord. Et quelque chose que vous êtes
serait une biométrie comme scan rétinien
d'empreinte digitale, une empreinte de pompe, scan de l'
iris, toute autre
chose qui vous est unique du point de vue
biologique. Vous pouvez donc utiliser l'un de ces deux éléments en plus de
l'identifiant utilisateur et du mot de passe. Mais rappelez-vous qu'ils doivent être
indépendants l'un de l'autre, comme si l'un d'eux est compromis
ou s'il n'est pas affecté. Donc, par exemple, si votre
smartphone est compromis et
qu'un attaquant accès au mot de
passe à usage unique OTP, il n'aura toujours pas accès à
votre identifiant utilisateur et à votre mot de
passe, n'est-ce pas ? Ils doivent donc être
indépendants les uns des autres. N'oubliez pas que dans ce commentaire
particulier, vous devez disposer d'un accès
administratif
pour l'accès à distance et authentification
multifacteur
pour l'accès à distance et d'une authentification multifacteur pour votre accès administratif. 1 pour noter les gars, cela va
devenir beaucoup
plus difficile NPCI version quatre. D'accord, je vais entrer
plus en détail dans une autre
section où nous allons
simplement discuter des exigences de la
version 4 de PCA, mais gardez cela à l'esprit. Le conseil est en train de rendre les
choses un peu plus difficiles
à l'avenir. Ok, alors quelles sont les principales
actions à prendre, les gars ? Vous
devez absolument appliquer systématiquement un mot de passe et une norme
MFA. Il s'agit de la valeur de p. Ce sont les
commentaires positifs minimaux et ce sont
les exigences MFA pour la rétrogradation
ou l'accès administratif. Assurez-vous que vos comptes distants. Souvent, vous avez eu
accès à des fournisseurs, des partenaires
commerciaux, des
consultants, n'est-ce pas ? Et ils doivent être surveillés et désactivés lorsqu'
ils ne sont pas utilisés. Tu ne devrais en avoir qu'eux. Puis au fur et à mesure qu'ils l'utilisent. Beaucoup de personnes utilisent des applications
tierces comme VDI ou quelque chose comme ça. Je veux dire, c'est à vous de décider comment votre environnement est configuré, mais il suffit de le mettre en place. Et cela va vraiment, donc en
gros, c'est comme une simple exigence de
bon sens. Je suis sûr que tu auras déjà beaucoup de ces
choses. Si ce n'est pas le cas,
vous devriez avoir un MFA pour votre
environnement administratif, en particulier s'il s'agit de l'environnement des données des
titulaires de carte. Je l'ai certainement fait appliquer. Ok les gars, donc ça conclut
ça va commenter. Passons au suivant.
14. 4 - Exigence 9: Salut les gars. Bienvenue dans le commentaire du district. Cela dit comme un domaine que je considère
toujours comme un angle mort, c' est-à-dire en
ce qui concerne PCI, DSS, qui est la sécurité physique. Beaucoup d'entreprises mettent
en place de nombreux contrôles techniques, mais oublient le côté
physique de choses comme les imprimés, les rapports. Beaucoup d'entreprises, vous savez,
ont un back-office, quelle que soit facturation
répétée, comme elles
enregistrent le numéro de carte. Ils conservent
des copies physiques de la carte actuelle. Et vous ne croirez pas qu'
ils sont librement disponibles, n'est-ce pas ? Vous devez donc mettre en
place des dispositifs de protection tels que le vol de
données et
l'accès sensible aux zones sensibles. Vous devez disposer de
politiques et de procédures de sécurité
physique . Vous ne pouvez conserver
que, par exemple, uniquement
des informations confidentielles. lieu de travail les a sécurisés
dans une zone verrouillée. Les étrangers ne peuvent pas simplement entrer. Les non-employés doivent
porter des badges et ne
stockent pas d'informations
sensibles. Le V ouvert dans mon entreprise, l'une de mes entreprises,
nous nettoyions les rues après les heures de bureau. Nous avions l'habitude d'aller vérifier que tout le monde avait bien
nettoyé son bureau, non ? Il n'y a aucune
information sensible. Ce sont donc des contrôles
qui relèvent du bon sens, mais ils vous
échappent malheureusement pour une raison quelconque, n'est-ce pas ? Alors, quelles sont les choses dont
tu as besoin ? Il doit disposer d'une politique de sécurité
physique appropriée mettant en évidence les
autres zones sensibles. Une chose que j'ai oublié de mentionner, c'est vos prises réseau, n'est-ce pas ? Vous ne voulez pas que
des personnes branchent simplement leur ordinateur portable et connectent
votre environnement cible. Le support physique ou la
sauvegarde et d'autres éléments doivent être sécurisés et un
contrôle strict doit être assuré. Que se passe-t-il si quelqu'un ne peut pas
compromettre l'environnement ? Et s'il est capable d'accéder à gag, d'
accéder à la bande
de sauvegarde, à droite. Qui contient toutes les
informations
dont vous avez besoin, comme les
mettre en sécurité, sont clairement marqués pour cela. Les documents doivent avoir des éléments
tels que confidentiels pour être déchiquetés et vous devez être
capable de détruire des supports, n'est-ce pas ? Diego a dit de le détruire en
fonction de sa classification. Beaucoup de ces choses, encore une fois, elles le font probablement, mais vous ne les étendez peut-être
pas à votre environnement de
titulaire de carte. Assurez-vous qu'ils soient prolongés. Vous devez vous coordonner avec vos
équipes de sécurité physique pour vous
assurer que vous avez reçu une
formation appropriée. Les zones sensibles sont bouclées. Tous les employés ne peuvent pas se contenter entrer dans vos zones sensibles à la lumière. Donc, tous ces contrôles Metrodorus n'ont pas été forcés d'avoir
une couverture de vidéosurveillance appropriée. Il devrait s'agir d'un mélange de préventifs et de
contrôles de détection. En gros, les mêmes choses que vous mettez dans votre
environnement, n'est-ce pas ? Votre environnement technique,
comme la segmentation. La segmentation, vous
bloquez cette zone. La vidéosurveillance est comme un badge auditif
et blanc, un badge de mot de passe
et des épingles. Ils sont comme MFA.
Toutes ces choses, il
suffit de les reproduire dans
un environnement physique. Un environnement unique, les gars, si vous avez des terminaux
de point de vente, comme des machines de point de vente. Vous devriez en avoir un
inventaire complet. Vous devriez avoir un
inventaire à jour de celles-ci. Tu devrais savoir où ils se trouvent. Quel est l'emplacement physique, numéro de série, le modèle nu. Pourquoi ? Parce qu'il
devrait l'inspecter. Et si quelqu'un l'a
altéré,
mais si quelqu'un l'a
remplacé par un autre C, puis un autre environnement,
généralement un grand nombre d' entreprises qu'ils entretiennent ont des
avantages, n'est-ce pas ? Et si quelqu'un est entré
, l'a falsifié, a injecté un appareil et que vous
ne le savez pas, n'est-ce pas ? Vous pouvez le faire en gros, vous
pouvez le faire tous les jours, chaque mois est basé sur
le type de
niveau que vous avez, d'accord. Vous devriez avoir une couverture de vidéosurveillance. Ce sont des appareils très
subtils, d'accord ? Assurez-vous que le haut est
complètement restreint. Et vous devriez sensibiliser
le personnel qui interagit avec ces choses au quotidien,
comme
un caissier, qui possède ce
type de machine de point de vente, n'est-ce pas ? Vous devez savoir si
quelqu'un l'a remplacé. S'il y a un appareil là-bas, vous devriez être en mesure de savoir
si quelqu'un a le même, vous devriez être en mesure de
vérifier le numéro de série. La physique de base. Ce sont des
choses simples que vous pouvez comme une formation vidéo. Vous pouvez leur rendre visite physiquement
et leur enseigner, etc., mais juste pour vous assurer que
le risque de substitution, quelqu'un substitue
l'appareil quand quelque chose ou il y
a un autre appareil malicieusement ou comme falsifier, altérer cet
appareil, placer un
autre appareil dessus. Ceux qui ont un gilet
doivent être atténués. Du point de vue de la norme PCI DSS. Ils sont comme beaucoup,
beaucoup de formations courantes disponibles même sur le
site Web du PCAOB, vous pouvez les trouver. C'est comme une
chose unique de PCI, les autres contrôles physiques
que vous effectuez peut-être déjà. Mais c'est quelque chose d'
unique et vous devez vous
assurer de l'avoir dans
votre environnement, d'accord ? Voilà qui conclut
ce nouvel engagement. Passons au suivant.
15. 4 - Exigence 10: Bonjour les gars, Bienvenue dans cette leçon qui est maintenant presque
arrivée à la fin, qui est un dix commun, la
journalisation et la surveillance. Journalisation et surveillance.
Vous savez, c'est l'une de ces choses que font presque
beaucoup d'entreprises. Presque toutes les entreprises le font, mais très peu d'entre
elles le font correctement. Parce que ce qui arrive souvent
, c'est qu'ils
enregistrent simplement des choses. Mais personne ne prend d'action aussi
intelligente sur
la base de ces alertes, n'est-ce pas ? Sim solutions, vous avez accès des informations
de sécurité
et à la gestion des Vous y envoyez tous
les journaux, mais vous n'envisagez pas vraiment de créer des alertes exploitables. Tu n'
affines pas vraiment les mêmes choses. Vous devez capturer
tout ce qui
se trouve dans l'environnement de
données des titulaires de carte, où PCI possède une liste minimale d'événements
qui doivent être capturés. Ok ? La plupart
des logiciels système génèrent des journaux sécurisant le
système d'exploitation, la pause du navigateur , le
pare-feu, toutes ces choses que
vous devriez capturer, d'
accord, alors assurez-vous que
ces éléments sont là. Que vous ayez une
solution SIM ou autre, vous devez tout
capturer. Et j'ai des
alertes exploitables basées sur ça. OK. Donc, ce que
nous avons commencé à vérifier,
c'est vérifier si vous avez un suivi
automatique du journal d'audit pour tous les événements de sécurité. Comment faites-vous ? Est-ce que c'est comme si quelqu'un ne voulait pas que
quelqu'un le
regarde et écrive essentiellement
un système automatisé ? Existe-t-il un processus pour
examiner quotidiennement les journaux et les événements
de sécurité ? En général, c'est comme
une solution SIM. Peut-être avez-vous une équipe SOC, ou vous pourriez avoir des équipes similaires, ou vous pourriez
nous demander de prendre en charge un
administrateur système qui reçoit des alertes. Cela dépend vraiment de
la façon dont vous le faites. Si vous le
faites dans le Cloud, vous avez peut-être recours à l'automatisation, mais le processus
doit être là. Vos journaux d'audit
doivent être présents au moins un an et au
cours des trois derniers mois. Ils doivent être des journaux en ligne. Tu devrais être incapable d'archiver les
90 derniers jours, d'accord. Vous devez l'avoir en ligne. Et qu'est-ce qu'ils vont finalement
capturer PCI, DSS est très précis à ce sujet. Tout comme l'activité
d'administration, les échecs de connexion, les modifications apportées aux augmentations de
privilèges de compte. Et vous devriez
capturer ce qu'ils savaient qui l'utilisateur, quel était
l'événement,
quelle était la date et l'heure,
si c'était un succès, quel échec
s'il s'est produit, toutes ces choses. Vous le trouverez facilement
dans la norme. Mais assurez-vous de le
capturer. Assurez-vous que ces emplacements
sont disponibles et testez-les. Ne présumez pas que vous
aurez ces journaux corrects. Testez-le et assurez-vous que ces
événements sont capturés. Beaucoup de solutions SIM, elles ont déjà des modèles
prédéfinis pour PCI DSS, ce qui
ne devrait pas être si difficile. Assurez-vous simplement qu'ils
sont activés. Que celui-ci était
assez simple. Passons à la suivante.
16. 4 - Exigence 11: Salut les gars. Nous en sommes à l'
avant-dernière exigence, qui consiste à effectuer des
analyses de vulnérabilité et la TEP est acceptable. Pourquoi faisons-nous ces choses, les gars ? Donc, en termes simples, vous devez découvrir quelles sont
les faiblesses de
votre environnement, n'est-ce pas ? Vous ne voulez pas attendre qu' un attaquant vienne compromettre votre
environnement, n'est-ce pas ? analyses de vulnérabilité et
les PT sont l'un des meilleurs moyens de
déterminer le type d'attaques auquel
vous êtes susceptible de faire face. Va est comme un scanner de
vulnérabilité est une analyse automatisée de haut niveau. Ok. Vous venez de faire un scan.
Ils en ont d'habitude. Vous avez une sorte de logiciel qui analyse l'environnement, vous
fournit un rapport, n'est-ce pas ? Vous devez le gérer
en interne et en externe sur une base trimestrielle. Et PT Je suis sûr que vous savez
déjà, c'est
comme un détail pratique. Généralement, il y a une
personne réelle qui essaie de détecter et d'exploiter
les faiblesses de votre système. Et cela, encore une fois, cela doit être interne et externe, à
la fois dans votre environnement. PCR exige que ces choses
se produisent à plusieurs niveaux, d'accord ? Vous pouvez simplement le faire en une seule
couche et l'appeler efficace. Nous allons détailler
ce dont je parle, type de couches
dont je parle avant de partir. Une chose très importante les gars, si vous avez un environnement
Guardiola public, non ? IP publiques. Pcr demande aux entreprises qui conduisent comme externe via scan et qu'elles appellent cela et ESV scan pour savoir si elles ont
des failles potentielles. Tu ne peux pas le faire toi-même. Vous devez être effectué par
une entreprise appelée un fournisseur
de numérisation
approuvé appelé ASP. Ok ? Tu ne peux pas le faire toi-même. Tu dois t'occuper
de cette société. Donc, ce qui se passe,
c'est que vous serez facturé à cette société et qu'elle effectuera
le scan tous les trimestres. Vous devez corriger toutes les vulnérabilités
les plus élevées. Vous devez donc continuer à le
faire jusqu'à ce que vous passiez. Et ils
vous feront passer un scan de passage. Et généralement, vous devez vous soumettre aux
schémas de voiture ou au blanc. Ce n'est donc pas quelque chose
que vous scannez et
oubliez. Vous devez le faire sur une base trimestrielle
minimum et vous devez le réussir. C'est l'une des choses
les plus importantes. C'est généralement une très bonne
exigence, car avec le
public est comme un environnement
à haut risque. Vous devez être capable de l' analyser et de connaître
les vulnérabilités. Ok, alors garde ça à l'esprit. Votre banque ou votre système de paiement vous dira
généralement si vous, nous avons parlé des
obligations plus tôt sur le taux. Ainsi, votre banque ou votre marque de
paiement vous
indiquera si vous êtes
tenu de le faire ou non. Mais souvenez-vous, je vous ai dit que nous devions
le faire à plusieurs niveaux. C'est donc de cela que je
parlais. Il suffit d'avoir une vue de haut niveau. Si vous recherchez
sur Internet, vous devez avoir des scans ASP
et un DP en cours. Ok. de vue externe, dans votre
environnement cardinal, vous n'aviez pas de scan
trimestriel via des scans, un salaire
annuel, un PT est cours et quelque chose appelé surveillance de l'intégrité des
fichiers. Qu'est-ce qu'une surveillance de
l'intégrité des fichiers ? Si vous n'êtes pas au courant, en gros, c'est un logiciel qui
représente l'environnement
pour toute
modification critique des fichiers, d'accord. Il se peut que votre environnement
contienne des fichiers sensibles. Vous ne vous attendez pas à ce qu'ils changent un logiciel de
surveillance de l'intégrité des fichiers vous
indiquera si ce fichier a changé
et déclenchera une alerte. Vous devez donc également l'intégrer
à votre environnement. Supposons donc que
votre application ait un fichier de configuration sensible qui n'est pas censé changer. Et si ça devenait étrange ? Ok, donc cette solution de
surveillance de l'intégrité des fichiers déclenchera une alerte
et
vous l'enverra qui devrait être là. Et en dehors de cela, si vous avez un environnement sans
fil qui se passe sans fil, vous devez également publier un
candidat pour les canettes
sans fil pour vous assurer que le nouveau réseau sans fil non sécurisé ou peut-être malhonnête
points d'accès. Après avoir créé, nous
avons généralement trois outils et des outils
commerciaux. Vous pouvez analyser l'ensemble de
l'environnement et nous trouverons
s' il existe des points de
vulnérabilité
ou de violence routière. Et nous avons parlé de
segmentation. Tu te souviens ? Nous avons dit que, d'accord, du point
de
vue de la segmentation, il devrait
y avoir quelque chose qui baisse. Et donc ce sera généralement
un pare-feu et IDS et IPS. Nous faisons donc quelque chose que l'
on appelle une boîte de segmentation, qu'est-ce que l'analyse de segmentation ? Segmentations
Quelqu'un peut-il réellement essayer de compromettre
la segmentation ? Donc, à partir de l'
environnement du titulaire de carte, il essaie de passer à l'environnement
non cloud ou
à partir du goût umami non
Guardiola
Le saut non cloud ou
à partir du goût umami non
Guardiola au
cardo, l'environnement. Il vérifie l'adéquation de la segmentation
qui s'est produite, qu'elle
soit bonne ou non. C'est pourquoi c'est
si important les gars, car toutes ces choses que
vous devez faire,
les différents moments où
ils sont, d'une manière ou d'une autre, je savais qu' une demi-année les
mettrait dans votre calendrier. Nous avons parlé d'
un processus BAU, n'est-ce pas ? C'est ce dont je
parlais. En général, ce que font les
entreprises et les
mandats de PCL , vous devez
disposer d'une méthodologie de test d'intrusion. Et vous mettez ce qui est externe, interne, comme quoi, qu'est-ce qui
va se passer chaque année ? Que va-t-il se passer
après chaque changement ? Si la segmentation change, comment
allez-vous la tester ? Comment allez-vous procéder au niveau 1 de
l'application ? Comment allez-vous
poser un interrupteur ? Peuvent tous avoir leur documentation dans une formule appropriée est document et le mettre à la
disposition de tous. Ainsi, vous n'aurez pas comme une surprise de coton
et vous manquerez scan critique que
vous êtes censé faire. C'est un niveau élevé
, un peu simpliste, mais cela vous indique
quelles normes devraient être appliquées
dans votre environnement. Donc j'espère que ça, c'était
comme si ça te donnait une idée claire. Commencez par ça. Au début, cela devient très
accablant et devient
lentement, lentement, comme
un BAU pour vous. Une fois que vous l'avez
intégré à votre processus BAU, vous constaterez que cela
devient beaucoup plus facile. Ok, les gars. Ok, ça termine
l'avant-dernier. Nous devrions donc passer
à la dernière.
17. 4 - Exigence 12: Bonjour à tous,
bienvenue dans cette leçon. Nous avons maintenant atteint la dernière exigence
du paramètre Alpha, la documentation
et l'évaluation des risques. Donc, la précédente était une exigence très
technique concernant les tests au stylo et b, a et P, D et toutes ces choses. Nous
parlons maintenant de quelque chose beaucoup plus simple la documentation et les évaluations des
risques. Donc ici, les gars, nous
parlons de quelque chose que
vous devez faire comme, du point de
vue de la diligence raisonnable, l'auditeur doit
savoir que toutes vos politiques de sécurité des
informations ont
été formalisées, d'autres choses loin de
ce qu'ils
devraient faire et qu'ils ne
devraient pas faire. Cela permet de vous
protéger en
cas de violation. Ensuite, vous pouvez prouver que vous avez tout
fait de
votre point de vue. Vous devez vous assurer que vos politiques
de sécurité ont été approuvées et que l'organisme a été appelé, communiqué et approuvé par tous les employés
auxquels ils ont reconnu leur présence. OK. Si vous êtes un fournisseur de services, vous devez disposer
d'une charte PCI DSS. Il indique qui est
responsable de PCI DSS et qui
va mettre en œuvre
le programme et qui est responsable de PCI, DSS. Il doit vous dire
qui est la personne responsable et comment elle communiquera avec la
direction, d'accord. En dehors de cela, vous devez
également avoir un inventaire des fournisseurs
tiers, personnes
externalisées ou des fournisseurs
tiers qui ont accès à votre environnement
cardinal. Parce que s'ils font des compromis potentiels
sur votre environnement, vous devez disposer d'une liste de tous les fournisseurs de services
tiers et indiquer s'ils sont certifiés
PECS ou non. OK. Tu dois avoir la liste. La plupart d'entre eux sont
généralement disponibles et vous pouvez les
intégrer à votre calendrier, mais assurez-vous que ces documents
sombres et sombres sont en retard. C'est donc assez
simple de
commenter principalement à propos de la documentation. Cela prend beaucoup de temps. Mais si vous travaillez avec votre TSA, il s'
agit souvent de modèles
prêts à l'emploi
déjà disponibles. Vous devriez donc pouvoir
gagner du temps avec cela. Comme je l'ai dit,
vous devez avoir une politique écrite de conformité
et de sécurité. La charte devrait être disponible
pour votre fournisseur de services. Vous devez vous assurer que j'
ai un examen trimestriel pour vous assurer que
tout le monde respecte
les exigences que
tout le monde
a approuvées sur la sécurité
de l'illustration. Enfin, une évaluation des risques très
importante, PCR demande à
chacun de réaliser une évaluation annuelle des risques afin d'
identifier les actifs critiques. La vulnérabilité Scratch est acceptable car elle
vous aidera à hiérarchiser les risques. Et si vous adoptez une
approche proactive à cet égard, cela porte vraiment ses fruits
à long terme. C'est quelque chose qu'elle
dit quelque chose
que les gens pensent que c'est comme un
après-midi de formalité chaque année. Mais si vous le faites correctement et que vous lui accordez le temps et le respect
nécessaires, je peux vous dire que les
évaluations des risques peuvent identifier nombreux problèmes de manière proactive, bien plus encore avant que
l'auditeur ne le découvre que je souhaite signaler cela avant, car
les évaluations des risques vont devenir très,
très importantes dans la
prochaine révision, qui est la version PCI DSS pour cela. Si vous le faites, si vous ne vous êtes pas trop
concentré là-dessus, cela pourrait devenir
un problème pour vous. Alors commencez certainement à vous
concentrer là-dessus. J'en parlerai plus
dans le prochain cours, dans le prochain cours que j'ai, qui porte sur PCI DSS 4. Mais s'il vous
plaît, ne
faites pas d'évaluation des risques ,
aimez la formalité artistique que vous devez faire et oubliez cela. Ok ? Donc, concentrez-vous vraiment, il n'y aura pas copier-coller ce que vous avez
fait
l'année dernière à l'année suivante et vous vous êtes
vraiment concentré
là-dessus et cela
portera certainement ses fruits à long terme. Ok, donc ça met fin à
votre procès à venir les gars, j'espère que cela vous a été utile. Passons à un sujet très important
que nous devons aborder, à les contrôles compensatoires. C'est ce qui arrive si vous n'êtes pas en mesure de
répondre à une exigence. Je te vois dans le prochain cours.
18. 4 - Contrôles de compensation: Salut les gars. C'est un cours très, très court, mais c'est très important. Vous avez donc couvert toutes les exigences relatives aux
sentiers, n'est-ce pas ? Mais que se passe-t-il si vous ne pouvez pas
manquer une exigence PCI ? Ok ?
Prenons un exemple. Vous devez appliquer des patchs
dans les 30 jours, n'est-ce pas ? Correctifs critiques. Que se passe-t-il si nous ne pouvons pas appliquer de patch ? Ou que se passe-t-il si vous ne pouvez pas mettre en
œuvre la surveillance de l'intégrité
Que se passe-t-il alors ? Il existe donc ce qu'on appelle
des contrôles compensatoires. Cela arrive quand, quand
une partie ne peut pas rencontrer
un appartement prédéfini, vous faites une raison illégitime. Ce n'est pas là qu'on est paresseux, peut-être que le système ne le
supporte pas ou qu'ils ne le supportent pas. Il existe certaines
contraintes. Mais ce que tu fais, c'est mettre
une autre commande là, d'accord ? Peut-être que tu ne peux pas le patcher. Mais vous avez une surveillance 24 heures sur 24
et 7 jours sur 7 et vous avez d'autres
outils qui vous
alerteront immédiatement si quelqu'un
essaie d'exploiter ce correctif. Ok ? Cela dépend donc vraiment. Les données sont vraiment un art. Qu'est-ce que tu en dis ? C'est comme si vous deviez vous
asseoir avec le QSEN, lui
faire comprendre
ce que vous avez fait, comment vous avez atténué ce risque et varier l'
efficacité de cela. Il change d"environnement en environnement de
peu d"esthétique aux États-Unis. Ok ? Mais n'oubliez pas que vous devez vraiment être bon en matière évaluation des
risques pour ce faire. Donc, le
contrôle compensatoire en bref, vous devez remplir une feuille
à transmettre à l'auditeur. À quoi cela ressemble-t-il ? C'est comme celui-ci. Comme j'ai pris l'exemple. C'est ça, tu
dois finir ça. Vous devez montrer quelles sont
les contraintes, d'accord, pourquoi vous ne pouvez pas répondre à un commentaire
comme pourquoi vous ne pouvez pas corriger ce trimestre ou pourquoi ne
pouvez-vous pas aimer implémenter la surveillance de l'intégrité des
fichiers, alors vous devez avoir
l'ancienne définition. Quels sont les contrôles que
vous avez mis en place ? Quel est l'objectif
de ces contrôles ? Quel est le risque qu'en raison
des correctifs ne soient pas
présents ou quelque chose comme ça, et comment l'auditeur validé des contrôles
compensatoires denses ? Et comment
allez-vous vous assurer que personne n'
altère ces commandes ? C'est donc quelque chose
que nous allons revoir. Et tu dois vraiment le
satisfaire pour t'assurer que ce n'est pas
juste quelque chose que tu as
mis là-dedans pour t'échapper ? Non, c'est quelque chose auquel
vous avez
pensé et que vous l'avez
mis en œuvre correctement. Alors, s'il vous plaît, les contrôles compensatoires sont
un sujet très important. Elles ne
seront pas remplacées, mais elles constituent une nouvelle façon de faire les choses
à venir, ce que l'on appelle l'approche
personnalisée. Je vais en parler dans
la version PCI DSS pour le module. Mais sachez simplement que ce sont des
contrôles compensatoires que vous
devez faire si vous n'êtes pas en mesure de
répondre à une exigence particulière. Et il y a d'autres moyens de faire qui se profilent. Ok les gars, donc ça termine
le module des exigences. J'espère que cela vous a plu
et j'espère que vous avez appris certaines choses et que vous vous retrouverez dans
le prochain module. Merci.
19. 5 - SAQ et ses types: Bonjour à tous,
bienvenue dans cette leçon. Maintenant, nous allons
parler des types de questionnaires d' auto-évaluation que
vous avez remplis aux
exigences PCI, DSS, n'est-ce pas ? Et juste pour récapituler rapidement, la SAQ, le
questionnaire d'auto-évaluation. Il s'agit d'un outil de validation permettant aux commerçants et aux fournisseurs de
services communiquer les résultats de
l'évaluation PCI DSS. Si vous n'êtes pas tenu de faire un audit complet et de soumettre un ROC, rédigez un rapport de conformité. Cela dépend de la façon dont vous traitez les données
stockées dans les données, ils sont différents SET
qu'il doit remplir. Par exemple, si vous n'avez
pas de boutique en ligne, vous devriez peut-être
remplir autre chose. Ou si vous avez une constante, c'est quelque chose comme si
vous étiez obligé de le faire. La façon dont vous traitez les données change
le
type de vésiculaire. J'ai vu parfois les gens s' embrouiller quand il
s'agit d'exécuter. Donc les types d'entre eux parce
qu'ils sont comme autour de lui. J'ai donc pensé qu'il serait bon donner
quelques conseils sur le type de SEQ requis
pour quel type de scénario. Jetons donc un coup d'œil à ça. Juste un petit récapitulatif. La base que vous devez
juste vous faire savoir, si vous n'êtes pas tenu de
faire un audit complet, vous devez
remplir un SAQ est
généralement destiné aux petits fournisseurs de
services aux commerçants. Il s'agit d'une série de questionnaires. Cela peut être assez long.
C'est comme si les pages montaient parfois à 87 pages, des questions par
oui ou par non. Et comme je l'ai dit, il
y en a huit, donc en gros, utilisez et
selon le type d'
environnement que
vous avez, vous allez ensuite
sélectionner celui-ci. N'essayez pas de le faire vous-même
la première fois que vous pouvez vérifier auprès des États-Unis
ou de votre plan de paiement. Ils leur ont demandé quel type de SEQ je
devais remplir. Cela ne devrait donc pas être difficile à condition de faire correctement
vos devoirs. Il s'agit des types de SKU. Je ne vais pas lire
sur une table ennuyeuse. Je sais que personne ne
veut que je fasse ça. Mais ce sont les termes
autour de huit types d'appels audio acycliques.
Alors jetons un coup d'œil. Beaucoup le
questionnaire d'auto-évaluation. Alors, que dit le guide de l'
APC ? C'est le cas si votre entreprise occupe entièrement de
la collecte et traitement des données des titulaires de carte auprès d'un fournisseur de
services tiers conforme à la norme
PCI. Si vous ne faites rien
concernant les données des titulaires de carte, vous avez complètement
externalisé tout. Ce qui se passe généralement, c'est que
je l'ai vu dans des scénarios où il existe un commerce électronique
complet, peu comme dans un
environnement de commerce électronique où
vous ne faites rien sur votre site Web lorsque
l'utilisateur clique dessus, comme s'il était redirigé vers quelqu'un d'autre et c'est
là que la transaction a lieu. Et vous revenez simplement et vous dites, OK, cette transaction
a été réussie. Tu n'as rien à faire. Pour ce type de scénario. J'ai vu qu'une SAQ est la plus adaptée en tant que sous-traitance
complète et complète. Et c'est comme si vous ne stockiez processus lié
à la carte de transmission à aucun moment. C'est donc pour l'assurance qualité de base, c'est généralement la
meilleure solution pour ce scénario. Il en existe une autre
appelée API SQL. Encore une fois, il existe un environnement de
commerce électronique et la collecte
du traitement des données des
titulaires de carte a
été externalisée à un tiers conforme à la norme PCI. C'est donc similaire
au précédent, mais dans celui-ci,
que se passe-t-il ? Vous contrôlez le flux des données des
titulaires de carte vers
le fournisseur de services. Ok ? Donc, généralement, ce
qui arrive aux clients, ils veulent plus de personnalisation
de l'environnement. Ils contrôlent donc
la façon dont le site Web envoie les données des
titulaires de carte et
c'est ce que vous appelez. Ils ne prennent pas les données des titulaires de carte, mais ils
contrôlent la façon dont les utilisateurs redirigés vers le site Web
pour le recouvrement des paiements. Cela se produit généralement lorsqu'ils
n'aiment pas que les pages
tierces ce que vous appelez les
pages par défaut et qu'ils veulent faire
une certaine personnalisation. Donc, pour ce type de
scénarios où une API sécurisée, c'est généralement
le bon choix pour votre
documentation de conformité. OK. Questionnaire B. B. Ce sont ces quatre types de
transactions par correspondance et
par téléphone
que vous
aimeriez que la banque approuve les terminaux de
paiement. Ce sont généralement
des lignes analogiques, pas des lignes téléphoniques analogiques. Ils n'ont donc aucun traitement
et stockage électroniques de données. En gros, nous
parlons de lignes téléphoniques et elles ne sont même pas connectées à la
voix sur IP comme l'analogique. Vous verrez ces
marchands qui sont généralement un peu
coupés du monde comme loin pour tous les
marchands qu'ils ressentent juste pour ce qu'il a appelé les terminaux et les terminaux de paiement
qui sont connectés aux lignes téléphoniques parce
qu'ils n'ont pas connexion
Internet et qu'ils n'ont
rien de tel. Ils l'utilisent pour ce
genre de questions. La séquence B est celle qui est utilisée. Je ne l'ai pas utilisé. Je ne l'ai pas vu tellement
utilisé. C'est le scénario dans lequel
vous allez utiliser celui-ci. Qu'est-ce que SEQ BIP ? Dans celui-ci, encore une fois, nous avons la vente par correspondance, les transactions de commande
téléphonique
et les terminaux de paiement, mais vous les
recevez également en personne. Et il est connecté
à un réseau IP. Comment tu appelles ça ? Non, ce n'est pas comme une connexion analogique, ici
vous avez une connexion IP. Soudain, ils peuvent avoir accès à Internet ou au
sans fil comme ça. se traduit généralement par des temps de traitement
plus rapides, mais vous devez
ensuite ajouter plus de couleurs, davantage de
contrôles de sécurité
sont-ils en place et vous devez segmenter ce réseau,
d'accord ? Parce que dans ce cas les données de paiement sont
transmises via le réseau. C'est donc là
que le PIF entre en jeu. Si vous pouvez le
vérifier à partir du nom. IP. Dans les 22 précédents, il n'y a que des lignes téléphoniques
analogiques ici. C'est un réseau IP. OK. Qu'est-ce que l'essai Q. C. Okay. Oui, donc dans celui-ci, vous recevez les données
du titulaire de la carte en personne, et encore une fois, les transactions de vente
par correspondance
et vous
utilisez un système de point de vente. Qu'est-ce que c'était dans
le précédent ? C'était donc comme un
terminal de paiement de la justice. Mais ici, vous avez un terminal
de
point de vente qui n'affiche pas toutes
les données de la carte. Rappelez-vous
où il a parlé, à
droite, du stockage des données de la carte. Donc, généralement, vous avez
ces caisses enregistreuses et elles sont connectées
à l'arrière d'un serveur. Et ce serveur peut
être hébergé à l'extérieur. Mais c'est ce qui se passe dans le scénario. Donc, vous avez comme un terminal
de point de vente qui n'est pas configuré pour stocker
les données de la carte carburant. Et vous avez comme une précision
à propos d'un serveur back-end. D'habitude, j'ai vu
ces détaillants utiliser ces grosses
caisses enregistreuses, non ? C'est là que le SAT s'applique
généralement à C v, t. Et pour celui-ci, même à partir du nom lui-même, on peut dire que c'est comme un terminal virtuel de
Verbit. Dans certains cas, vous n'
avez donc pas de terminal physique. Ok ? Vous avez donc ici un terminal virtuel à
usage. Et en général, il existe
un poste dédié à un
endroit précis pour le traitement des paiements. Parfois, quand vous permettez à
vos clients faire du self-service et
tout ça, non ? C'est là que cela entre en jeu. Ok, P2. P2, P0, P2P signifie chiffrement
point à point. Il s'agit donc d'une norme que le conseil PCI a introduite. Toutes les
données sont cryptées à partir
du point de capture kill que le point renvoie
pour traitement. Donc, si vous êtes un commerçant,
vous n'êtes pas obligé de le faire. Il s'agit d'une norme totalement
offshore, mais elle réduit la portée
de la conformité Piaget. J'ai vu que beaucoup de
codes de service ne sont pas proposés par les banques comme solution aux commerçants s'ils veulent réduire
la complexité, nous ne voulons pas avoir à nous soucier
du paiement et tout ça. Il faut généralement avoir
des terminaux spéciaux dédiés à cela. Ok ? Ensuite, la
transaction est renvoyée
pour être renvoyée au fournisseur
de services pour déchiffrement et traitement. Ici, l'essentiel
est que nous utilisons des terminaux de
chiffrement
point à point validés . Ok ? Si vous l'utilisez, il
s'agit d'un questionnaire. Ce questionnaire est
beaucoup plus simple que les autres, et
c'est là le but. Vous souhaitez réduire la charge liée à la
conformité. Vous ne voulez pas
répondre à cette
grande question, c'est la suivante, et cela devient comme
une incitation pour les commerçants à adopter ce
type de solutions. Ok ? Et maintenant, nous en sommes au dernier, qui est la
sécurité et donc tout ce qui ne s'applique pas
aux critères précédents. Et vous ne
voulez pas, par exemple, stocker des informations sur les
titulaires de carte
et ne pas utiliser comme un système
stratifié point à point. Et en gros, aucun
des critères précédents
ne s'applique à vous en tant que sécurité. J'ai souvent
vu des marchands
commencer par cela parce que
dans ce scénario, vous adoptez simplement l'approche
la plus sûre et remplissez simplement leur
sécurité parce qu'ils ne
veulent pas se lancer dans les tracas
en découvrant exactement ce que sont les commentaires sécurisés de réglage
des données, ils remplissent simplement leur
sécurité et le soumis. Cela vaut donc pour les commerçants et les fournisseurs de
services,
ainsi que pour les fournisseurs de services. J'ai travaillé dans un
fournisseur de services pendant de très nombreuses années. En gros, ce n'est pas comme si
un paiement se passait comme Visa, MasterCard, et que vous
n'étiez pas comme une banque, n'est-ce pas ? Mais vous
traitez,
stockez et transmettez les données des
titulaires de carte pour le compte d'un commerçant offrant une offre bancaire. Donc, en gros, tu décharges
tout, d'accord ? Généralement des prestataires de services,
ils effectuent l'audit complet parce que leur environnement
est beaucoup plus critique. Vous n'avez pas de données. Entité, vous avez la version bêta. Dieu sait combien d'entités sont
des centaines de banques, des centaines de milliers
de marchands. Ils font donc généralement
l'audit complet, mais vous pouvez
remplir leur sécurité. Vous devriez vérifier auprès de
votre course permanente et savoir ce qu'elle pense être
applicable à vous. Si
vous êtes un
fournisseur de services, je vous recommande de
ne pas vous fier à une clé sécurisée, ne pas vous fier à une clé sécurisée car elle n'est pas vérifiée de
manière indépendante. J'ai essayé de toujours passer en
revue l'audit complet. Surtout si vous êtes
un fournisseur de services. Ok, les gars. Cela ferme le
corps appelé partie SEQ. Et je vous verrai dans
le prochain module, qui est très important, qui concerne les
changements clés de leur version 4 de la norme.
Merci les gars. Je te vois à la prochaine leçon.
20. 6- PCI DSS v4 et les changements clés: Bonjour à tous. Bon, nous avons atteint
le dernier chapitre, qui est le dernier et qui est le plus
tourné vers l'avenir, c'
est-à-dire les principaux changements
dans les zéros de la version 4. Donc, vous
savez peut-être que la version 4 mari a
été rendue publique. Cela a été le résultat
de divers efforts déployés par le conseil de la CPA pour mettre
à jour la norme. Vous ne le rendez pas plus pertinent. Si
je n'ai pas créé cette section séparée,
c'est parce que je veux que vous restiez calme et que vous
continuiez à vous concentrer sur vos efforts de conformité avec la version actuelle
de la norme. En même temps,
prenez le temps de
lire et de planifier la version 4 de la
norme PCI DSS. N'essayez pas d'implémenter
4 dès maintenant vous allez vieillir car
c'est un changement majeur. Ce n'est pas quelque chose que vous pouvez simplement commencer à mettre en œuvre immédiatement. Vous devez
bien comprendre quels sont
les changements et comment ils s'
inscriront dans le tableau
d'ensemble. Ok les gars, juste un câble, vous n'êtes pas tout excité et commencez à implémenter tout de
suite. De quoi parle-t-on ? Tout d'abord, pourquoi
la norme a-t-elle changé ? Donc, si une révision majeure se produisait, eh bien, cela pourrait être une question. Vous pourriez vous demander
pourquoi la console PCA procédé à une telle réécriture
de la norme PCI DSS ? Et le PCI DSS est une norme
assez mature pour des raisons pour lesquelles ils veulent
s'assurer qu'il a besoin de normes de
sécurité, les besoins du
secteur des paiements, non ? Parce que la technologie évolue. Nous n'avions pas de cloud avant et d'autres choses avant, n'est-ce pas ? Et ils l'ont rendu plus mature du point de vue de
la sécurité. La sécurité ne
ressemblait pas tellement à ce que nous appelons
ici un lien avec la gestion des risques
et des processus matures. Les entreprises disposent désormais de
technologies innovantes qui répondent à l'objectif
des exigences. Tu te souviens de ce que
je t'ai déjà dit ? Essaie de comprendre l'intention. N'essayez pas simplement de mémoriser
le standard, d'accord ? Parce que ça ne t'aidera pas. Et cela vous donne
beaucoup de flexibilité, ainsi que la prise en charge d'une méthodologie
supplémentaire. Ils l'ont donc rendue beaucoup plus flexible, beaucoup plus ouverte. Vous pouvez avoir beaucoup
de discussions avec le QS, c'est juste rappelez-vous, mais c'est très, très important. Mais les gars, vous devez vous concentrer sur la gestion des risques
en tant que méthodologie. Ne vous contentez pas d'être technique. Comprenez comment c'est. Comment fonctionne la gestion ?
Si tu ne le sais pas déjà. Le calendrier clé, juste pour moi pour donner un sens à ce diagramme, le standard, le
nouveau reste option jusqu'au 31 mars 2024. Et puis cette version trois
passera à l'ancienne version, 3.2.1, elle sera retirée. Après cela, vos audits
commenceront à se produire uniquement pour la version 4.2 de la norme PCI
DSS. Certaines des nouvelles exigences sont pas non plus obligatoires
avant le 31 mars 2025. ici là, elle sera
considérée comme une bonne pratique. Ok. Tellement de commentaires ont été
ajoutés à la norme, leur futur daté de mars 2055, comme je l'ai dit, afin de
permettre le
développement des nouveaux processus avant que je doive
faire des commentaires puissent être appliqués. C'est pourquoi je me concentre. J'en ai fait une norme distincte parce que je ne
voulais pas vous embrouiller, n'est-ce pas ? Je vais me concentrer
sur les principaux changements. Vous avez donc jusqu'au 31
mars 2024 pour comprendre et appliquer les nouvelles
exigences aux normes. Et le QS, c'est que nous
allons venir. Ils peuvent commencer à auditer
par rapport à la norme. Ok. Deux ans, c'est beaucoup, mais ce ne sont pas vraiment des dés. Ne sous-estimez
pas la rapidité avec laquelle le temps passe et
la rapidité avec laquelle
les choses changent. Vous obtiendrez une
tasse solide. D'autres choses. Je vais t'apprendre à te concentrer
sur les choses sur lesquelles tu dois te
concentrer et ce que tu devrais faire, d'accord ? Ok ? Donc, la première chose est que ce n' pas une
chaîne si grande, mais une portée. Donc, auparavant, la définition de la portée, si vous examinez ce
type de cadrage c'
était comme si elle commençait
une discussion initiale. C'était dans l'introduction. Cela ne faisait pas partie des
exigences de la norme, mais maintenant le conseil l' a intégré aux normes d'
exigences. Ok ? Et ils en ont fait une
exigence de traçabilité effective
immédiatement pour la version 4. Ce n'est donc pas comme
des données futures dans d'autres. Ok ? Vous devrez donc documenter
votre exercice de cadrage. Si vous êtes un commerçant,
vous devez le faire chaque année et si des changements surviennent ou quelque chose du genre, si vous êtes un fournisseur de services, vous devrez le
faire tous les six mois. Ou un usager est constitué de données de
structure de données. Donc, si vous êtes un commerçant,
assurez-vous de faire votre, vous devriez le faire
de toute façon, commencez à documenter votre exercice de cadrage
sur une base annuelle. Cela peut être un peu compliqué la première fois, mais ensuite
cela devient plus facile. Si vous êtes un fournisseur de services, sachez qu'après le 31 mars
2025, vous devez le
faire tous les six mois. Mais après tout changement majeur, comme quelque chose qui a changé
d'une manière que les systèmes des
personnes traitent, vous devez en tenir compte. Ok. Qu'y a-t-il d'autre dans le stockage des données
d'authentification sensibles ? Eh bien, vous ne devriez pas stocker de données
d'authentification sensibles, mais après autorisation. Nous en avons déjà
discuté , n'est-ce pas ?
Certaines organisations. Ainsi, avant que la transaction ne
soit autorisée, ils conservent temporairement
les données. Il a été recommandé d'accord. Vous le stockez pendant une
minute, une demi-heure, peu importe ce qui a été recommandé, vous devriez essayer de crypter
un droit protégé. Ce n'était pas obligatoire. Eh bien, ce ne sera plus une recommandation après
le 31 mars 2025. Ce qui s'est passé, c'est qu'ils ont
été témoins de nombreuses attaques. Les attaquants peuvent essayer compromettre disparu
dans la mémoire, ce stockage temporaire,
ils essaient de le compromettre. Ok. Donc, même si vous le
stockez pendant cinq minutes, ils le sauront et
essaieront de le récupérer de mémoire. Donc, vous aurez même dans la mémoire, mais ensuite le stockage temporaire, vous devrez le
crypter. Ok. Il suffit donc de garder cela à l'esprit. Et ce ne serait pas une recommandation après
le 31 mars 2025. Ok. Qu'y a-t-il d'autre accès
à distance ? Donc, si vous utilisez l'accès à distance dans l'
environnement du titulaire de carte, d'accord ? Ensuite, vous devez empêcher la copie et le déplacement du dossier de données du
titulaire de la carte. Quelqu'un peut
copier-coller ces données. C'est ce qui a
déjà été mentionné dans la recommandation
standard qui sera une exigence. De nombreuses entreprises ont
vu ce qu'elles
faisaient auparavant pour mettre en place une
politique à ce sujet. Mais maintenant, elle doit être
mise en œuvre par une technologie, d'accord ? Habituellement, cela ne devrait
pas être trop difficile. Généralement, si vous avez des paramètres dans votre logiciel d'accès à distance qui empêchent le copier-coller ou si vous
avez des fonctions DLP, d'accord ? Donc, selon ce que
vous avez et votre processus
actuel, même s'il est très facile, cela peut être
un peu difficile. Vous pourriez avoir besoin d'investir
dans un peu plus de technologie c'est tout ce dont vous avez besoin pour contrôler cela. Il suffit donc de garder cela à l'esprit
pour cette exigence. Bon, pare-feu d'application Web. C'est donc assez
simple les gars. N'oubliez pas, je
vous ai dit que vous pouvez avoir un pare-feu d'application Web ou des peintres d'applications.
C'était une recommandation. Eh bien, maintenant tu dois l'avoir. Ce n'est plus optionnel. Ok. Vous devez avoir une
valve après le 21 mars 2025. Honnêtement, vous devriez avoir un
brouillon comme je vous l'ai déjà dit, n'essayez pas de vous contenter de critiques de codage
sécurisées ou de vous énerver, vous devriez avoir un pare-feu d'
application Web par défaut. Donc, si vous ne le faites pas, commencez à le faire dès maintenant,
commencez à budgétiser pour cela. Saute sur les pages de paiement. C'est donc
assez intéressant. Autrefois, c'était comme un
supplément du Conseil des PTA. Cela ne doit pas initialement
faire partie de la norme PCI. Si vous avez des pages de commerce électronique avec des scripts en cours d'exécution, que devons-nous
faire si vos scripts
sont en cours de chargement ? Vous devez vous
assurer qu'ils sont autorisés et que
personne ne peut modifier ces scripts. Et vous avez un inventaire de tous les scripts en
cours d'exécution. Pourquoi ? Pourquoi cela se produit-il ? Parce que les phénomènes appelés
skimming payments, skimming, les attaquants
avaient l'habitude compromettre ces pages de
paiement et injecter leurs propres scripts ou de falsifier les scripts
existants. OK, c'est comme si vous
saisissiez vos données, mais ces données sont en
fait entrées sur la page de l'
attaquant et le
pH est authentique, n'est-ce pas ? Mais ils ont juste comparé
avec le script. Il ne s'agit donc pas d'
une attaque par hameçonnage car l'URL
restera la même. C'est pourquoi maintenant c'est
un très bon commentaire personnellement parce que le
commerce électronique a commencé. C'est comme si le commerce électronique prenait
lentement
le dessus sur le monde physique. Et tu devrais avoir
ces commandes. Alors jetez
un coup d'œil à ça. Si vous avez un moteur
de commerce électronique ressort, commencez à jeter un coup d'œil à
la façon dont vous allez mettre en œuvre. Et vous pouvez jeter un coup d'œil au supplément sur le commerce électronique
du conseil de la CPA. C'est également un
très bon document qui va plus en détail. Ok. Quelles sont les autres exigences du
MFA ? MFA a donc été un peu
élargi. Alors, comment appellez-vous maintenant si nous avons reçu était
destiné à l'administration et à l'
accès à distance ? En ce moment, il
va être étendu pour couvrir l'accès à l'environnement du
titulaire de carte. Ok. Encore une chose. Ils ont donc ajouté un détail. Cela peut être un peu délicat. Alors, qu'
est-ce qui se passait auparavant ? Habituellement, dans la plupart des solutions MFA vous entrez votre nom d'utilisateur et votre mot
de passe, n'est-ce pas ? Cliquez sur Entrée, puis
un autre écran s'affiche. Alors vous devez entrer
votre code MFA, n'est-ce pas ? Maintenant. Tout cela doit
se faire en même temps. Ce n'est donc pas comme si vous utilisiez un mot de passe pour la
première fois. Ensuite, ils saisissent l'autre facteur juste en dessous du jeton. Maintenant, ils doivent se produire en même temps
et ils ne peuvent pas vous dire quel sens le
champ de mot de passe de l'ID utilisateur dans le jeton échoue. Vous ne pouvez pas révéler
cette information. La plupart des fournisseurs
devraient donc la mettre à jour. Mais quelque chose à garder à l'esprit. autre chose était
finalement une bonne vue. Comme je vous l'ai déjà dit, les exigences de mot de passe PCI DSS étaient
auparavant de sept. Maintenant, ils l'ont finalement
amélioré à 12. Ils ne devraient pas constituer
un problème plus grave. Mais si certains de
vos systèmes doivent être mis à niveau, vous devez
peut-être modifier
la stratégie de mot de passe ou quelque chose de ce genre.
Gardez cela à l'esprit. Un problème mineur est qu'ils ont changé, ils ont supprimé les références
aux pare-feu et aux routeurs. Maintenant, ils l'ont mentionné en vigueur, contrôles
de sécurité
et l'anti-malware. Ils l'ont rendu
plus cohérent avec la
terminologie de l'industrie. La plupart des entreprises
n'utilisent plus une construction
d' antivirus réutilisant
quelque chose d'anti-malware. Ok. Qu'y a-t-il d'autre ? Numérisation authentifiée. Donc interne via scan, il doit maintenant
être authentifié. Cela signifie maintenant que
vous pouvez simplement scanner vos ports et services
et l'appeler via scan. Donc, si vous avez un serveur
ou quelque chose comme ça,
généralement, vous lui donnez un identifiant et un mot de passe de l'appliance
ou de l'utilisateur. Il se connectera à cette machine
et effectuera une analyse complète. Okay, prépare-toi pour un rapport beaucoup plus vaste si tu
ne le fais pas déjà, honnêtement, on devrait déjà le
faire. Vous devez toujours effectuer une analyse
authentifiée. D'accord, mais si vous ne l'êtes pas et
quand vous activez le yoga, parce que maintenant il va
regarder, va
s'authentifier et faire un scan beaucoup plus approfondi. Beaucoup de choses vont
se passer, OK les gars, alors soyez prêts pour commencer à le
faire dès maintenant. Une partie importante de cette nouvelle
exigence est que
les informations d'identification que vous entrez doivent être saisies
et stockées en toute sécurité. Ok. Alors jetez un œil à ça. Si vous avez quelque chose
comme un coffre-fort de mots de passe ou si vous pouvez intégrer un grand nombre de
ces solutions,
elles s'intègrent à
Password works, vous n'avez
donc pas à
le saisir manuellement et rangez-le n'importe où. Ok. Il suffit de garder cela à l'esprit. Enfin, d'accord, le plus, personnellement à mon avis, le plus grand changement a été l'introduction des contrôles
personnalisés. Qu'est-ce qui se passait auparavant ? Comme je vous l'ai déjà dit, si auparavant les entreprises
ne pouvaient pas répondre aux exigences, elles pouvaient proposer ce qu'
on appelle un
contrôle compensatoire et l'utiliser pour contourner le problème. Par exemple, vous ne pouvez pas crypter données du
titulaire de carte système hérité localisé, mettre un autre contrôle. Et cela revient à
atténuer ce risque. Beaucoup de temps
est curieux de savoir qu'on leur pose
la question, non ? L'auditeur Les entreprises m'
ont demandé, d'accord, nous avons une sécurité mais je ne
peux pas répondre à l'exigence
spécifique, mais j'ai des contrôles sécurisés. Ok. la réponse était
correcte parce que vous pouvez implémenter un contrôle de
compensation, qui est une solution temporaire jusqu'à ce que vous répondiez à l'exigence, jusqu'à ce que vous résolviez finalement ce problème. Ok ? Donc, version 4
de la norme, ils ont essayé de résoudre
ce scénario en introduisant ce concept d'approche
personnalisée. Les entreprises clientes qui
ont une sécurité mature, d'accord ? Et ils ont d'autres contrôles, ils peuvent répondre aux
exigences d'autres manières. Ce n'est donc pas un
contrôle compensateur, c'est tellement un moyen beaucoup plus complexe et beaucoup plus efficace de
répondre à l'exigence. Ok ? Donc les choses précédentes,
la façon précédente de faire et cela s'appelait
une approche définie. Pci a été mis en œuvre s'
appelle une approche définie. Vous allez maintenant
avoir une section distincte intitulée «
Approche personnalisée », d'accord ? En gros, vous allez proposer un nouveau contrôle, c'est-à-dire les exigences. Donc vous ne compensez pas vous ne compensez
pas un écart. Ok. Vous mettez en place
un nouveau qui répond l'objectif PSA et
qui, bien
entendu, sera évalué
par l'auditeur PCI. Il s'agit d'une excellente
solution pour les entreprises qui ne peuvent pas
répondre directement aux exigences, mais qui disposent de pratiques de
gestion des risques éprouvées et de
technologies innovantes. Ok ? À quoi cela ressemblerait-il ? C'est
un peu comme ça. Donc l'ancienne approche qui définissait l'
approche était, eh bien, j'ai une exigence PCI
et je ne peux pas la satisfaire, donc je vais mettre en place
un contrôle compensatoire. Je compense un manque de contrôle et je suis documentaire à
court terme. L'auditeur avait
l'habitude de dire : « OK, nous acceptons maintenant, peut-être qu'
après un an, cinq ans, nous devrons mettre
en œuvre une solution. Bon, maintenant, j'ai une
pizza que je ne peux pas satisfaire, j'ai un contrôle personnalisé, je l'ai faite et elle répond à l'objectif
de l'exigence. La norme PCI dit que
ce XYZ ne devrait pas se produire, cognitif ne devrait pas être volé. Ok, je réponds
aux exigences et je l'ai implémenté. Vous pouvez donc toujours effectuer
des contrôles compensatoires, mais ces nouvelles approches constituent moyen
beaucoup plus stratégique de le respecter. Donc, comme je l'ai dit, n'
oubliez
pas que vous ne compensez pas comme
à court terme. Vous mettez maintenant en œuvre
une approche à long terme pour sécuriser correctement
vos exigences PCI. Ok ? Voici donc à quoi
ressemble la
norme afin qu'ils puissent la regarder et la styliser. Vous n'êtes pas obligé de commencer à le mettre
en œuvre immédiatement. Et cela peut sembler un
peu accablant. Je vais donc vous donner des
conseils pour ce prix. Que faire à ce sujet,
comment se concentrer là-dessus, d'accord ? Et juste pour être clair les gars, cette gestion
et cette documentation sont une grande priorité sur
le nouveau volet. Ainsi, lorsque vous effectuez
vos activités, vous devez effectuer une analyse
ciblée
des risques pour comprendre pourquoi vous faites des choses. Vous devez vous assurer
qu'ils sont approuvés. Si vous mettez en place des contrôles
personnalisés, ils devront
être approuvés par votre Chief Risk Officer ou CEO. Quelqu'un de plus âgé, OK. Ce n'est pas quelque chose
comme je l'ai déjà mentionné. Pci DSS n'est pas un projet informatique. Mais dans le nouveau, ils mettent
beaucoup plus l'accent sur ce point. Que vous devez
avoir des
rôles et des responsabilités clairement définis . Les contrôles personnalisés
doivent être approuvés. Et une évaluation ciblée des risques
doit être effectuée. Ne pensez pas que vous pouvez simplement créer une feuille
Excel avec
une colonne disant « J'ai fait une évaluation des risques ». Non, ça ne sera pas
accepté comme ça. Comment faites-vous ?
21. 6 - Comment se préparer: Si vous connaissez Michael Lumia tout à l'heure à propos de
l'évaluation des écarts, c'est pareil. Ok. Quels sont les points les
plus importants sur lesquels il faut se concentrer en ce moment ? Tout d'abord, lisez la version PCI
DSS pour Standard, familiarisez-vous avec
les principaux changements qui peuvent avoir un impact sur votre processus de
conformité, puis commencez à évaluer les
lacunes, d'accord ? Pour moi, implémentez les changements.
Probation pour saisie. Vous avez le temps, commencez tôt et vous n'aurez aucun problème pendant
votre conversation. D'accord, n'oubliez pas de
continuer à mettre en œuvre votre norme
actuelle, 3.211, mais commencez à
réfléchir à la façon dont vous allez
effectuer les évaluations des risques. Une évaluation des
risques plus formelle est la documentation
requise, d'accord ? Et la plupart des organisations
devront ajouter des processus et acquérir des compétences
pour le faire correctement. Découvrez quels types de
certifications existent. Commencez à vous concerter. Et le cube, même s'
ils ne peuvent pas effectuer une évaluation 4 pour le moment tant qu'ils n'ont pas
été formellement formés. Mais ça va se faire
très, très vite. Ok. Mais en quelque sorte,
cela vous donnera des conseils, mais n'
attendez pas 2024 pour
commencer à passer
à PCI DSS pour fido, répartissez vos efforts
au cours des prochaines années et
tout ira bien, d'accord ? Ok. Souvenez-vous simplement de ces choses. Ils mettent même davantage l'
accent sur la documentation. La gestion ciblée des risques a commencé à
investir dans cet arbre
et il existe de très nombreuses certifications
pour la gestion des risques. Vous pouvez consulter ces
certifications. Je ne vais pas proposer de nomination
en particulier. Tu peux y jeter un œil. Ce serait une bonne
idée d'investir dans l'obtention de certifications et
de gestion des risques. Ils ne sont pas techniques,
mais ils
vous enseigneront les méthodologies pour
effectuer des évaluations de risques appropriées. Ok les gars. Ok, donc
ça termine la version 4. J'espère que vous comprenez maintenant les grands changements
qui s'annoncent, comment vous pouvez vous y prendre. Comme je l'ai dit, il semble que
deux ans, c'est loin. Cela peut être très court,
très long. Répartissez vos efforts et en place
un plan d'action approprié et cela devrait
vous convenir. Ok, les gars, j'espère
que ça vous a été utile. Voilà qui conclut et je vous remercie d'avoir participé à
cette formation. Nous allons maintenant passer
à la conclusion. Et dans ce cours, merci beaucoup d'être resté
avec moi pendant cette période.
22. 7 - Chemin de l'avant: Ok les gars, félicitations pour avoir atteint la fin de ce cours. J'espère que vous l'avez trouvé intéressant. Ce n'était pas ennuyeux. J'ai essayé de le rendre
aussi pratique que possible et de vous donner autant de conseils pratiques que possible pour
le projet de classe. Je voulais juste te rappeler qu' on a parlé d'Essex. Je veux que vous collectiez un SAQ, rendiez aussi simple que la sécurité ou n'importe qui pour un commerçant physique sur le commerce électronique
qui
vous apprendra vraiment les différentes
normes, les différents départements. Cela vous donnera une bonne
idée des autres commentaires
également, remplissez-le. Dites-moi comment vous vous
y prenez et si vous rencontrez des défis depuis contactez-moi et faites-le moi savoir. Ok. Que pouvez-vous faire d'autre, les gars ? Vous pouvez consulter
le programme PCI ISA, évaluateur de sécurité
Internet, c'est une certification interniste que vous pouvez faire pour votre entreprise. Cela vous rend presque
équivalent à ce que les États-Unis, mais vous ne l'êtes pas,
vous n'êtes pas comme chez USAID, vous êtes plutôt votre propre auditeur
interne, mais cela vous donne une formation complète sur
la façon
de conduire ces audits. Si vous êtes
certainement intéressé par ce qui se passe. Comme je l'ai dit, n'
attendez pas l'audit. Veuillez commencer à mettre en œuvre
ces connaissances dès maintenant. Et vous allez certainement
que c'est le meilleur moyen de conserver ces connaissances ou disons, un conseil pratique que je
peux vous donner créer un document ou un manuel PCI pour votre entreprise pour le commerce électronique, comment mettre en œuvre
ces exigences au taux journalier pour
votre organisation. Et vous en apprendrez
beaucoup, croyez-moi, vous en apprendrez beaucoup
sur votre entreprise et sur la façon dont les différents
commentaires s'intègrent. Et surtout,
commencez à vous
écarter de la
version PCI DSS 4 est 0 aujourd'hui, ne le remettez pas à
l'année prochaine ou à l'année suivante, sinon vous
aurez de sérieux problèmes. Commencez à le mettre en œuvre dès aujourd'hui. Prenez les connaissances que je
vous ai apprises et
présentez-les à votre direction et
voici ce
que nous devons faire. Ok, les gars, c'est fini. Merci beaucoup d'avoir
participé à cette formation. Merci de laisser un commentaire. Si vous avez trouvé cette
formation utile, merveilleuse, faites-le moi savoir. Si vous avez compris
que cette formation était la pire chose à laquelle
vous ayez jamais assisté, faites-le moi savoir afin que
je ne sois pas offensé. Et je vais l'utiliser pour améliorer
sa formation ou prendre. Si vous êtes intéressé, vous pouvez
me contacter sur ma chaîne, comme le responsable de la sécurité dans le cloud
et d'autres cours que j'ai ici, accord, connectez-vous
avec moi sur LinkedIn. Je serais heureux de vous aider en
cas de problème. Ok, et c'est la fin de ce cours,
les gars, merci beaucoup. J'espère que vous avez apprécié cette formation autant que j'ai aimé la suivre. Jetez un œil à mes autres cours
et contactez-moi. Je vous souhaite bonne chance dans votre parcours PCI DSS et à
bientôt dans d'autres cours. Merci beaucoup
et bonne chance.